Chinaunix首页 | 论坛 | 博客
  • 博客访问: 212151
  • 博文数量: 26
  • 博客积分: 390
  • 博客等级: 二等列兵
  • 技术积分: 269
  • 用 户 组: 普通用户
  • 注册时间: 2010-10-11 18:19
文章分类

全部博文(26)

文章存档

2014年(6)

2012年(4)

2011年(16)

分类: LINUX

2012-01-08 16:53:25

当前包括PHP、Java、Ruby在内的很多语言版本存在漏洞,PHP官方开发组成员Laruence()表示攻击者可以通过,并。这个攻击方法危害很高,攻击成本也很小,一个台式机可以轻松搞垮数十台、上百台服务器。

此漏洞一出,相当于随便一个攻击者就可以DDoS掉世界上的大部分网站!危害等级绝对是核弹级别。因此,PHP官方开发组紧急发布了补丁,请大家尽速修补。

PHP方面,<= 5.3.8, <= 5.4.0RC3的所有版本均会受此漏洞影响。PHP 5.3.9和PHP 5.4.0已经包含了针对此漏洞的补丁,但由于两个版本目前仍然在RC状态,无法用于生产服务器升级。至于PHP 5.2,官方开发组表示不会为了这个漏洞发布新版。

官方目前提供的解决方案是给自己的PHP环境打一个Patch,5.2和5.3都可以使用。Patch地址如下:

使用方法:

1. cd 到 php src,运行: patch -p1 < php-5.2.*-max-input-vars.patch 2. 最新的 PHP 5.3.9-RC4 已经修复了本漏洞,5.3 的用户可以直接升级到 5.3.9-RC4 。 当然,如果您不想更新到一个RC版本,那么也可以很简单的修改上面这个补丁,应用到 5.3 的相应版本上。

Laruence还建议其他语言java, ruby等,请各位也预先想好对策,限制post_size是治标不治本的方法,不过可以用来做临时解决方案。

临时解决方案参考:

此外,微软也已经紧急发布了更新,修复了ASP.net上的该漏洞:

http://netsecurity.51cto.com/art/201112/310628.htm

查询清单

目前已知的受影响的语言以及版本有::

  • , 所有版本
  • <= 1.6.5
  • <= 5.3.8, <= 5.4.0RC3
  • , 所有版本
  • , 所有版本
  • <= 1.8.7-p356
  • , 所有版本
  • <= 5.5.34, <= 6.0.34, <= 7.0.22
  • <= 3.1.1
  • , 所有版本
  • , 所有版本
  • , 所有版本
  • , 所有版本

不受此影响的语言或者修复版本的语言有::

  • >= 5.3.9, >= 5.4.0RC4
  • >= 1.6.5.1
  • >= 1.8.7-p357, 1.9.x
  • >= 5.5.35, >= 6.0.35, >= 7.0.23
  • , N/A (Oracle reports that the issue is fixed in the main codeline and scheduled for a future CPU)
  • CVE: (PHP), (Jetty), (JRuby), (Plone), (Ruby)
阅读(2406) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~