找回密码
 骑士注册

QQ登录

微博登录

搜索
❏ 站外平台:

Linux中国开源社区 新闻 查看内容

PHP 安全更新被指无效,官方推出新解决方案

2012-05-10 08:05    评论: 3    

上周三,一个 PHP 远程代码执行漏洞被意外公开,引起了很多用户的恐慌。此漏洞使许多基于 PHP 开发的网站存在被入侵的风险。

据CERT(计算机安全应急响应组织)介绍,当 PHP 以 CGI 模式运行时 (如 Apache 的 mod_cgid模块),php-cgi 会接受处理一个查询字符串作为命令行参数以开启某些功能(例如,将 –s、-d 或 -c 传递给 php-cgi)。此漏洞可以允许攻击者查看网站源代码,或未经许可执行任意代码等。

虽然 PHP 官方及时针对该漏洞发布了PHP 5.3.12 和 5.4.2这两个更新版本,但安全网站 Eindbazen 表示,此次安全更新并未能真正修复该漏洞。Eindbazen 在团队博客中写道:

在最新发布的PHP 5.3.12 和 5.4.2版本中存在一个Bug,使得攻击者可以绕过该修补程序。

此观点得到了 PHP 官方的认可。近日,PHP 官方网站给出了一套新的解决方案。同时,还表示将于本月8号再次放出安全更新,并承诺新版本会真正解决 CGI 漏洞和其它相关的一些漏洞所带来的问题。

最新评论

我也要发表评论

微博评论 2012-05-08 13:03 回复
CGI有问题,那FastCGI呢。

来自 火志溟 的新浪微博
微博评论 2012-05-08 13:04 回复
CGI有问题,那FastCGI呢。

来自 火志溟 的新浪微博
微博评论 2012-05-08 13:04 回复
CGI有问题,那FastCGI呢。

来自 火志溟 的新浪微博

收藏

返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。