PHP是一门通用开源脚本语言,其语法借鉴吸收C、Java和Perl等流行计算机语言的特点,因此利于学习,使用广泛,主要适用于Web开发领域。
8月25日,启明星辰VSRC监测到PHP中修复了一个堆栈缓冲区溢出漏洞(CVE-2023-3824)其CVSSv3评分为9.4,目前该漏洞的细节及PoC已公开。
PHP多个受影响版本中,phar_dir_read()中的缓冲区管理不善可能导致缓冲区溢出和过度读取。当加载恶意phar文件时,在读取phar目录项时,长度检查不足可能导致堆栈缓冲区溢出,从而可能导致内存损坏或远程代码执行。
二、影响范围
8.0.0<= PHP版本< 8.0.30
8.1.0<= PHP版本<8.1.22
8.2.0<= PHP版本<8.2.8
三、安全措施
3.1 升级版本
目前该漏洞已经修复,受影响用户可升级到以下版本:
PHP 8.0.X版本:>=8.0.30
PHP 8.1.X版本:>=8.1.22
PHP 8.2.X版本:>=8.2.8
下载链接:
https://github.com/php/php-src/tags
3.2 临时措施
暂无。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://github.com/php/php-src/security/advisories/GHSA-jqcx-ccgc-xwhv
https://nvd.nist.gov/vuln/detail/CVE-2023-3824
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...