黑客无处不在,知名教父级网络安全专家郭盛华透露:“PHP编程语言其核心和捆绑库中的多个高严重性漏洞,其中最严重的漏洞可能允许黑客远程攻击者执行任意代码并破坏目标服务器。
超文本预处理器,通常称为PHP,是目前最受欢迎的服务器端Web编程语言,它支持78%以上的Internet。目前几个维护分支下的最新版本包括PHP版本7.3.9和7.2.22以及7.1.32,解决了多个安全漏洞。根据PHP应用程序中受影响的代码库的类型,发生和使用情况,成功利用某些最严重的漏洞可能允许攻击者在受影响的应用程序的上下文中执行具有相关权限的任意代码。
另一方面,郭盛华透露:“失败的攻击尝试可能会导致受影响系统上的拒绝服务(DoS)条件。这些漏洞可能会使成千上万的依赖PHP的Web应用程序遭受代码执行攻击,包括由一些流行的内容管理系统(如WordPress,Drupal和Typo3)提供支持的网站”。其中,分配为CVE-2019-13224的代码执行漏洞存在于Oniguruma中,Oniguruma是一个流行的正则表达式库,它与PHP捆绑在一起,以及许多其他编程语言。远程攻击者可以通过在受影响的Web应用程序中插入特制的正则表达式来利用此漏洞,从而可能导致代码执行或导致信息泄露。
教父郭盛华曾表示:“攻击者提供了一对正则表达式模式和一个字符串的,条件是得到由onig_new_deluxe()处理的多字节编码,”,在它的安全性咨询描述的脆弱性。其他修补缺陷会影响卷曲扩展,Exif功能,FastCGI流程管理器(FPM),Opcache功能等。郭盛华提供了最佳的解决方案:“建议服务器升级到最新版本的PHP 7.3.9,7.2.22或7.1.32。(欢迎分享)