WordPress 可以触发 Linux 上的 Ghost 缺陷

建议用户马上更新可用的补丁 这个漏洞之前由Qualys的安全研究员发现，并取了绰号叫Ghost，可以利用WordPress或其他PHP应用来攻击网站服务器。 这个瑕疵是一个缓冲区溢出问题，可以被攻击者触发用来获取Linux主机的命令行执行权限。发生在glibc的__nss_hostname_digits_dots()函数中，它会被gethostbyname()函数用到。 PHP应用可以用来利用这个瑕疵 Sucuri的Marc-Alexandre Montpas说之所以这个问题很重要是因为这些函数在大量软件和服务器系统使用。 说这是个严重问题的一个例子是WordPress本身：它使用一个叫wp_http_validate_url()的函

2015-03-16 06:47     Ionut Ilascu, zpl1025