设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

PHP7曝出三个高危0-day漏洞,还有一个仍未修复

2016-12-31 09:45| 发布者: 随便、先森。| 查看: 1400| 评论: 0|来自: FreeBuf

摘要: PHP7出现三个高危0-day漏洞,可允许攻击者完全控制PHP网站。这三个漏洞出现在PHP7的反序列化机制中,而PHP5的反序列机制也曾曝出漏洞,在过去几年中,黑客利用该漏洞将恶意代码编入客户机cookie并发送,从而入侵了Dr ...

PHP7出现三个高危0-day漏洞,可允许攻击者完全控制PHP网站。

这三个漏洞出现在PHP7的反序列化机制中,而PHP5的反序列机制也曾曝出漏洞,在过去几年中,黑客利用该漏洞将恶意代码编入客户机cookie并发送,从而入侵了Drupal、Joomla、Magento、vBulletin和PornHub等网站。

漏洞概况

最近,Check Point的exploit研究团队安全人员花费数个月时间,检查PHP7的反序列化机制,并发现了该机制中的“三个新的、此前未知的漏洞”。

虽然此次的漏洞出现在相同机制中,但PHP7中的漏洞与此前PHP5中的并不相同。

三个漏洞编号分别为CVE-2016-7479、CVE-2016-7480和CVE-2016-7478,其利用方式与Check Point八月份详细报道的CVE-2015-6832漏洞类似。

CVE-2016-7479:释放后使用代码执行

CVE-2016-7480:使用未初始化值代码执行

CVE-2016-7478:远程拒绝服务

影响和修复

前两个漏洞如遭利用,将允许攻击者完全控制目标服务器,攻击者可以传播恶意程序、盗取或篡改客户数据等。如果第三个漏洞被利用,则可造成DoS攻击,可使目标网站资源系统耗尽并最终关闭,点击此处查看完整分析报告

根据Check Point安全研究人员Yannay Livneh的说法,上述三个漏洞都未被黑客利用。Check Point的研究人员已在9月15日和8月6日依次将三个漏洞报给了PHP安全团队。

PHP安全团队已在10月13日和12月1日发布了针对其中两个漏洞的补丁,但还有一个仍未修复。为保证Web服务器安全,用户应将服务器PHP版本升至最新。

*参考来源:thehackernews,FB小编kuma编译


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部