上周三,一个 PHP 远程代码执行漏洞被意外公开,引起了很多用户的恐慌。此漏洞使许多基于 PHP 开发的网站存在被入侵的风险。
据CERT(计算机安全应急响应组织)介绍,当 PHP 以 CGI 模式运行时 (如 Apache 的 mod_cgid模块),php-cgi 会接受处理一个查询字符串作为命令行参数以开启某些功能(例如,将 –s、-d 或 -c 传递给 php-cgi)。此漏洞可以允许攻击者查看网站源代码,或未经许可执行任意代码等。
虽然 PHP 官方及时针对该漏洞发布了PHP 5.3.12 和 5.4.2这两个更新版本,但安全网站 Eindbazen 表示,此次安全更新并未能真正修复该漏洞。Eindbazen 在团队博客中写道:
在最新发布的PHP 5.3.12 和 5.4.2版本中存在一个Bug,使得攻击者可以绕过该修补程序。
此观点得到了 PHP 官方的认可。近日,PHP 官方网站给出了一套新的解决方案。同时,还表示将于本月8号再次放出安全更新,并承诺新版本会真正解决 CGI 漏洞和其它相关的一些漏洞所带来的问题。