关于PHP7漏洞情况的通报

近日，国家信息安全漏洞库（CNNVD）收到多个关于“PHP7”漏洞情况的报送。其中编号为CNNVD-201612-760和CNNVD-201612-761的两个漏洞影响PHP7版本，利用难度较大；编号为CNNVD-201612-759的漏洞同时影响PHP7版本和PHP5版本，利用难度较小。 目前多个主流内容管理平台基于PHP5开发，因此漏洞影响范围较广，国家信息安全漏洞库（CNNVD）对上述漏洞进行了跟踪分析，情况如下： 一、 漏洞简介 PHP（PHP：Hypertext Preprocessor，PHP：超文本预处理器）是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。 PHP 5.6.26版本和7.0至7.0.13版本中存在远程拒绝服务漏洞（CNNVD-201612-759，CVE-2016-7478）。攻击者可利用该漏洞造成拒绝服务。 PHP 7.0至7.0.13版本中存在拒绝服务漏洞（CNNVD-201612-760，CVE-2016-7479）。攻击者可利用该漏洞造成拒绝服务（无限循环）。 PHP 7.0.12之前的版本中存在远程代码执行漏洞（CNNVD-201612-761，CVE-2016-7480）。远程攻击者可利用SplObjectStorage对象的反序列化函数使用未初始化变量，导致修改内存数据，执行任意代码。 二、 漏洞危害 攻击者可以利用上述漏洞远程控制服务器，或者导致网站瘫痪。此外，目前多个主流内容管理平台基于PHP5开发，攻击者可利用上述漏洞机制对PHP5的主流平台进行攻击，如Magento、vBulletin、Drupal和Joomla!。 三、 修复措施 PHP官方已提供最新版本的PHP7，新版本中不存在上述漏洞，PHP7最新版本下载链接如下： http://php.net/downloads.php#php-7.1 针对上述编号为CNNVD-201612-759和CNNVD-201612-761的漏洞，Github已提供了修复措施，不方便升级至最新版PHP7的用户可参考如下链接： https://github.com/php/php-src/commit/bcd64a9bdd8afcf7f91a12e700d12d12eedc136b 本通报由CNNVD技术支撑单位——北京神州绿盟信息安全科技股份有限公司、安天实验室提供支持。 CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。 联系方式: cnnvd@itsec.gov.cn

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/