PHP7 中的三個(gè)高危零日漏洞可讓攻擊者完全控制 PHP 網(wǎng)站。

這三個(gè)漏洞出現(xiàn)在PHP7的反序列化機(jī)制中，PHP5的反序列化機(jī)制也暴露了漏洞。在過去的幾年中，黑客利用該漏洞將惡意代碼編程到客戶端并發(fā)送，從而入侵、、、等網(wǎng)站。

漏洞概述

近日，安全人員研究團(tuán)隊(duì)花了數(shù)月時(shí)間研究 PHP7 的反序列化機(jī)制，發(fā)現(xiàn)該機(jī)制中存在“三個(gè)新的、以前未知的漏洞”。

雖然這次的漏洞出現(xiàn)在相同的機(jī)制中php代碼執(zhí)行漏洞，但是PHP7中的漏洞與之前PHP5中的漏洞并不相同。

編號(hào)為 CVE-2016-7479、CVE-2016-7480 和 CVE-2016-7478 的三個(gè)漏洞的利用方式與 8 月份詳述的 CVE-2015-6832 漏洞類似。

CVE-2016-7479：發(fā)布后使用代碼執(zhí)行

CVE-2016-7480：具有未初始化值的代碼執(zhí)行

CVE-2016-7478：遠(yuǎn)程拒絕服務(wù)

沖擊和修復(fù)

前兩個(gè)漏洞如果被利用seo優(yōu)化，將允許攻擊者完全控制目標(biāo)服務(wù)器，允許攻擊者傳播惡意程序、竊取或篡改客戶數(shù)據(jù)等。如果第三個(gè)漏洞被利用，可能會(huì)引發(fā)DoS攻擊，從而導(dǎo)致目標(biāo)網(wǎng)站資源系統(tǒng)被耗盡并最終關(guān)閉。單擊此處查看完整的分析報(bào)告。

據(jù)安全研究人員稱，上述三個(gè)漏洞都沒有被黑客利用。的研究人員。. . 分別于 9 月 15 日和 8 月 6 日向 PHP 安全團(tuán)隊(duì)報(bào)告了三個(gè)漏洞。

PHP 安全團(tuán)隊(duì)已于 10 月 13 日和 12 月 1 日發(fā)布了針對(duì)其中兩個(gè)漏洞的補(bǔ)丁php代碼執(zhí)行漏洞，但其中一個(gè)仍未修復(fù)。為確保網(wǎng)頁服務(wù)器安全網(wǎng)站制作，用戶應(yīng)將服務(wù)器 PHP 版本升級(jí)至最新版本。