PHP7曝出三个高危0-day漏洞,还有一个仍未修复

PHP7出现三个高危0-day漏洞,可允许攻击者完全控制PHP网站。

这三个漏洞出现在PHP7的反序列化机制中,而PHP5的反序列机制也曾曝出漏洞,在过去几年中,黑客利用该漏洞将恶意代码编入客户机cookie并发送,从而入侵了Drupal、Joomla、Magento、vBulletin和PornHub等网站。

漏洞概况

最近,Check Point的exploit研究团队安全人员花费数个月时间,检查PHP7的反序列化机制,并发现了该机制中的“三个新的、此前未知的漏洞”。

虽然此次的漏洞出现在相同机制中,但PHP7中的漏洞与此前PHP5中的并不相同。

三个漏洞编号分别为CVE-2016-7479、CVE-2016-7480和CVE-2016-7478,其利用方式与Check Point八月份详细报道的CVE-2015-6832漏洞类似。

  • CVE-2016-7479:释放后使用代码执行
  • CVE-2016-7480:使用未初始化值代码执行
  • CVE-2016-7478:远程拒绝服务

影响和修复

前两个漏洞如遭利用,将允许攻击者完全控制目标服务器,攻击者可以传播恶意程序、盗取或篡改客户数据等。如果第三个漏洞被利用,则可造成DoS攻击,可使目标网站资源系统耗尽并最终关闭,点击此处查看完整分析报告。

根据Check Point安全研究人员Yannay Livneh的说法,上述三个漏洞都未被黑客利用。Check Point的研究人员已在9月15日和8月6日依次将三个漏洞报给了PHP安全团队。

PHP安全团队已在10月13日和12月1日发布了针对其中两个漏洞的补丁,但还有一个仍未修复。为保证Web服务器安全,用户应将服务器PHP版本升至最新。

作者:佚名

来源:51CTO

时间: 2024-03-01 09:08:44

PHP7曝出三个高危0-day漏洞,还有一个仍未修复的相关文章

“乌云”再次曝出小米公司出现新的漏洞

DoNews 5月16日消息 在小米论坛被爆数据出现泄漏之后,互联网漏洞报告平台"乌云"再次曝出小米公司出现新的漏洞,漏洞类型为"用户资料大量泄露". 乌云平台显示,小米科技出现另一安全漏洞,造成百万级别用户数据泄漏,该漏洞已经提交至小米科技官方,等待小米方面处理. 对于小米再次被曝出安全漏洞一事,部分用户开始质疑小米平台安全性.此前也曾有多位用户反馈称,自购买了小米手机之后,骚扰电话和垃圾短信增加了很多,他们怀疑这些都是由小米科技安全漏洞造成. 5月13日晚间,有

Android 曝出两个高危漏洞

Android系统本周曝出了两个新的高危漏洞,影响大量设备,很多设备可能永远得不到修复的机会.第一个漏洞是 Google Project Zero安全团队成员Mark Brand披露的,编号CVE 2016-3861,该漏洞允许攻击者执行恶意程序或本地提权.Brand称该漏洞极端危险,因为它可以通过多种方式利用.他同时披露了漏洞利用代码. 第二个漏洞编号CVE-2016-3862,类似Stagefright,能通过发送恶意图像文件利用,其中恶意代码能被隐藏在图像嵌入的Exif数据中.受害者无需任

蓝牙曝出高危漏洞 你该怎么办?

据国外安全公司Armis爆料,其实验室研究人员近日发现了一项基于蓝牙漏洞而进行的攻击手法,被称为"BlueBorne".BlueBorne能够利用蓝牙协议栈中发现的8个零日漏洞,对运行Android.iOS.Windows以及Linux等操作系统的移动.桌面.IoT(物联网)等设备发起攻击,危害较大. 蓝牙曝出高危漏洞 下面是研究人员展示的对Google Pixel手机的攻击视频,受害者全程无感... 此次蓝牙漏洞列表: ·Linux内核远程代码执行漏洞 - CVE-2017-1000

电信玩穿越?致命漏洞曝出之前就完成了修复!

       10月28日,补天漏洞响应平台上曝出中国电信某系统存在安全漏洞,可以致使黑客轻松盗取上亿用户信息,包括用户姓名.身份证号码等,并且可以进行销户和换卡操作. 这个消息让已经无数次被信息泄露的用户脆弱的小心脏又经历了一次暴风骤雨般的打击.不过今天下午,中国电信官方微博贴出了一则公告,表示该漏洞实际上早在25号就已经被修复啦,劝大家不要恐慌,并且在文末还有一个大大的打赏按钮... 电信澄清公告全文 公告中,电信解释称这个安全漏洞是某省级公司的一个增值业务平台的软件漏洞,并且通过和CNVD

安卓5.0系统曝出耗电bug:开了Wifi你就中招了

[TechWeb报道]11月6日消息,据国外媒体报道, 安卓5.0系统是谷歌推出的最新开源系统,但最近它曝出了一个耗电bug.当用户开启设备Wifi时,这个bug会导致续航迅速下降.最近有一批Nexus 5手机用户在安卓开发者网站抱怨这个问题,称自从安装了最新的安卓5.0开发者预览版,手机续航就变得诡异起来.谷歌的一名软件工程师表示谷歌安卓部门已经察觉到了这一问题:当Nexus5用户升级到安卓5.0系统并打开WiFi网络时,手机续航 就会下降得特别快.这可能是由于大量异常的IRQ唤醒事件引发的,

安卓5.0系统曝出闪光灯漏洞 Nexus 4/5纷纷中招

[TechWeb报道]11月18日消息,据国外媒体报道,虽然Nexus设备可以升级 安卓5.0系统,但近日它却曝出了一个烦人的闪光灯漏洞,只要你打开了设备上的闪光灯这个漏洞 就会发作,其中Nexus 5智能手机的症状尤其严重.安卓5.0闪光灯漏洞如果你在使用Nexus设备时打开了闪光灯,它会在几分钟后自动关闭,然后你的噩梦就来临了:闪光灯和照相机都会突然无法使用或自动启动,想要恢复正常就得重启设备.现在已经有一部分Nexus5用户确认了这个漏洞并出现上述症状,但该漏洞只会导致Nexus 4的照相

近期,微信等多款安卓流行应用曝出高危挂马漏洞

   奇虎360 昨日发布风险警示,近期,微信等多款安卓流行应用曝出高危"挂马漏洞":只要点击好友消息或朋友圈中的一条网址,手机就会自动执行黑客指令,出现被安装恶意扣费软件.向好友发送欺诈短信.通讯录和短信被窃取等严重后果.包括安卓版微信.QQ. 腾讯 微博.QQ浏览器.快播. 百度 浏览器.金山浏览器等大批应用均被曝光同类型漏洞. 挂马漏洞的说法源于"挂马攻击".挂马攻击是指攻击者在获取网站控制权之后,通过篡改网站的网页内容,在页面中嵌入恶意代码.360安全中心监

蒙牛纯牛奶致癌物超标140%的消息曝出

蒙牛纯牛奶致癌物超标140%的消息曝出,令人震惊却不意外.冰冻三尺,非一日之寒.以今年为例,从"变质奶"到雪糕细菌超标事件,蒙牛多种产品的负面曝光不断,中国经济网亲子频道曾就今年蒙牛质量事件进行专题报道.面对消费者和媒体的质疑,蒙牛或道歉,或以托辞掩盖,却没有警醒自改. "每天一杯奶,强壮中国人",这是蒙牛提出的响亮口号,表达出国产奶业巨头的自信,如能做到,无疑是造福于民的功德大善.但从蒙牛的实际作为来看,"强壮中国人"似乎停留在口头,沦为一句为

知名鞋类品牌达芙妮被曝出全国范围内裁员

[<财经>(博客,微博)综合报道] 据21世纪经济报道报道,近日,知名鞋类品牌达芙妮被曝出全国范围内裁员,其中电商部门更是重灾区,原电商部门商品总监.供应链主管和销售主管三大负责人同时被裁. 内部人士透露,"从2011年11月份,达芙妮原电商部门的总经理离职之后,电商部门其实一直处在没人负总责的情况下". 谈及电商部门管理层换血一事,达芙妮方面表示的确有人员变动."这三位离职者的继任者早已到位,而之前媒体报道中所说的"无人管理负责"的情况则不准