pHp編程語言中發(fā)現(xiàn)多個代碼執(zhí)行缺陷

pHp編程語言的維護者最近發(fā)布了最新版本的pHp，用于修補其核心和捆綁庫中的多個高嚴重性漏洞，其中最嚴重的漏洞可能允許遠程攻擊者執(zhí)行任意代碼并破壞目標服務器。

超文本預處理器，通常稱為pHp，是目前最受歡迎的服務器端Web編程語言，它支持78％以上的Internet。

幾個維護分支下的最新版本包括pHp版本7.3.9,7.2.22和7.1.32，解決了多個安全漏洞。

根據(jù)pHp應用程序中受影響的代碼庫的類型，發(fā)生和使用情況，成功利用某些最嚴重的漏洞可能允許攻擊者在受影響的應用程序的上下文中執(zhí)行具有相關權(quán)限的任意代碼。

另一方面，失敗的攻擊嘗試可能會導致受影響系統(tǒng)上的拒絕服務（DoS）條件。

這些漏洞可能會使成千上萬的依賴pHp的Web應用程序遭受代碼執(zhí)行攻擊，包括由一些流行的內(nèi)容管理系統(tǒng)（如Wordpress，Drupal和Typo3）提供支持的網(wǎng)站。

其中，分配為CVE-2019-13224的“免費后使用”代碼執(zhí)行漏洞存在于Oniguruma中，Oniguruma是一個流行的正則表達式庫，它與pHp捆綁在一起，以及許多其他編程語言。

遠程攻擊者可以通過在受影響的Web應用程序中插入特制的正則表達式來利用此漏洞，從而可能導致代碼執(zhí)行或?qū)е滦畔⑿孤丁?/p>

“攻擊者提供了一對正則表達式模式和一個字符串的，條件是得到由onig_new_deluxe（）處理的多字節(jié)編碼，”紅帽說，在它的安全性咨詢描述的脆弱性。

其他修補缺陷會影響卷曲擴展，Exif功能，F(xiàn)astCGI流程管理器（FpM），Opcache功能等。

好消息是到目前為止還沒有任何關于攻擊者在野外利用這些安全漏洞的報告。

pHp安全團隊已經(jīng)解決了最新版本中的漏洞。因此，用戶和托管服務提供商，強烈建議到他們的服務器升級到最新版本的pHp 7.3.9，7.2.22或7.1.32。

本文題目：pHp編程語言中發(fā)現(xiàn)多個代碼執(zhí)行缺陷
本文來源：http://m.kartarina.com/news13/298563.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站建設、企業(yè)建站、軟件開發(fā)、網(wǎng)站策劃、響應式網(wǎng)站、自適應網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)