PHP Multipartform-data远程DOS攻击漏洞
缘由
PHP Multipartform-data远程DOS攻击漏洞,恶意构造的请求会导致服务器的cpu使用率达到100%。全版本受影响,危害严重。请尽快修复漏洞。
受影响的软件及系统
PHP 5.0.0 – 5.0.5
PHP 5.1.0 – 5.1.6
PHP 5.2.0 – 5.2.17
PHP 5.3.0 – 5.3.29
PHP 5.4.0 – 5.4.40
PHP 5.5.0 – 5.5.24
PHP 5.6.0 – 5.6.8
PHP 5.1.0 – 5.1.6
PHP 5.2.0 – 5.2.17
PHP 5.3.0 – 5.3.29
PHP 5.4.0 – 5.4.40
PHP 5.5.0 – 5.5.24
PHP 5.6.0 – 5.6.8
未受影响的软件及系统:
PHP 5.4.41
PHP 5.5.25
PHP 5.6.9
PHP 5.5.25
PHP 5.6.9
更新到官网最新版本得到修复
http://php.net/ChangeLog-5.php#5.4.41
http://php.net/ChangeLog-5.php#5.5.25
http://php.net/ChangeLog-5.php#5.6.9
http://php.net/ChangeLog-5.php#5.5.25
http://php.net/ChangeLog-5.php#5.6.9
官网的漏洞报告和讨论
内容摘抄:
鸟哥也在关注这个漏洞哟
[2015-05-15 05:37 UTC] [email protected]
does this needs a CVE id?
有人问 php5.3.x系列的修复呢?
[2015-05-19 03:04 UTC] welpher dot yu at gmail dot com
what about 5.3?
官方回答请看php版本支持信息
[2015-05-19 03:47 UTC] [email protected]
5.3 is EOL since last year: http://php.net/supported-versions.php
在 php版本支持信息 中我们看到 php5.3支持已经过期了,也就是就算是有严重bug官方也不会修复php5.3.x系列了.
php5.3.x系列的最终版是php5.3.29
php5.3.x系列的最终版是php5.3.29
总结
如果你线上使用的是 php5.4.x or php5.5.x or php5.6.x请升级到官网最新版本;
如果你使用的是php5.3.29 or php5.3.x 建议升级到 php5.4.41;
其中php升级带来的代码兼容问题请结合自己的项目参考官方文档进行升级。
如果你使用的是php5.3.29 or php5.3.x 建议升级到 php5.4.41;
其中php升级带来的代码兼容问题请结合自己的项目参考官方文档进行升级。
- 从PHP 5.5.x 移植到 PHP 5.6.x
- 从 PHP 5.4.x 迁移到 PHP 5.5.x
- 从 PHP 5.3.X 迁移到 PHP 5.4.X
- 从 PHP 5.2.x 移植到 PHP 5.3.x
如果是php5.3.x系列想停留在现在的版本,得自己修改php源码,修复本漏洞.
php5.3.29的民间补丁
https://coding.net/u/simapple/p/oldphppatch/git
评论已关闭