PHP语言的维护人员最近发布了PHP最新版,修复了内核和绑定库中的多个高危漏洞,其中最严重的漏洞可导致远程攻击者执行任意代码并攻陷目标服务器。
PHP 是最流行的服务器端 web 编程语言,在互联网的占有率为78%。最新发布的版本包括 PHP 7.3.9、7.2.22 和 7.1.32,它们解决了多个安全漏洞。
根据PHP应用程序中受影响代码库的类型、并发和用途不同,某些最严重的漏洞如遭成功利用,可导致攻击者以和受影响应用程序相关联的权限上下文中执行任意代码。
而如攻击尝试失败,则可能导致受影响系统上产生拒绝服务条件。这些漏洞可导致数万款依靠 PHP 的 web 应用程序易受代码执行攻击,包括由某些流行内容管理系统如 WordPress、Drupal 和 Typo3 驱动的网站。其中一个严重漏洞是“释放后使用”漏洞,CNNVD-201907-561、CVE-2019-13224,存在于流行的和 PHP 绑定的正则表达式库 Oniguruma 中,可导致代码执行或信息暴露后果。
红帽公司在安全公告中描述此漏洞时表示,“攻击者提供了一个正则表达式模式和一个字符串,其中包含一个由 onig_new_deluxe() 处理的多字节编码。”其它修复的缺陷影响curl 扩展、Exif 函数、FastCGI处理管理器(FPM)、Opcache功能等。好在迄今为止尚未发现这些漏洞已遭利用的证据。PHP 安全团队已经在最新版本中解决了这些问题。建议用户和托管提供商将服务器更新至 PHP 最新版本 7.3.9、7.2.22 或7.1.32。