[BUG反饋] PHP新DOS漏洞 望WD早日出修補方法。

makony

近日，PHP被爆出存在遠程DOS漏洞，若黑客利用該漏洞構(gòu)造PoC發(fā)起連接，容易導致目標主機CPU被迅速消耗。此漏洞涉及眾多PHP版本，因而影響范圍極大。

漏洞產(chǎn)生的原因是PHP解析multipart/form-datahttp請求的body part請求頭時，重復拷貝字符串導致DOS。而遠程攻擊者可以通過發(fā)送惡意構(gòu)造的multipart/form-data請求，導致服務器CPU資源被耗盡，從而遠程DOS服務器。

另據(jù)了解，在今年4月3日就有用戶在PHP官網(wǎng)提交了PHP遠程DoS漏洞（PHP Multipart/form-data remote dos Vulnerability），代號69364。由于該漏洞涉及PHP的眾多版本，故其影響面較大，一經(jīng)發(fā)布迅速引發(fā)多方面關注。此后，各種PoC已經(jīng)在網(wǎng)絡上流傳。

此次漏洞具備如下特性：

1. 一旦被利用成功，可以在迅速消耗被攻擊主機的 CPU 資源，從而達到 DoS 的目的；

2. PHP 在全球的部署量相當大，為攻擊者提供了相當多可以攻擊的目標；

3. PHP 官方目前僅給出了 5.4 及 5.5 版本的補丁

受此漏洞影響的軟件及系統(tǒng)包括 PHP 的如下版本。

• PHP 5.0.0 - 5.0.5

• PHP 5.1.0 - 5.1.6

• PHP 5.2.0 - 5.2.17

• PHP 5.3.0 - 5.3.29

• PHP 5.4.0 - 5.4.40

• PHP 5.5.0 - 5.5.24

• PHP 5.6.0 - 5.6.8




http://www.chinaz.com/news/2015/0520/407861.shtml

前幾天看到了，沒在意。今天站長網(wǎng)又爆出來了。

有POC，估計以后會有很多工具，希望WD早日出修復辦法。感謝~

makony

回復 6# admin


   請問管理，怎么升級WDCP 的php版本？