[重要]PHP 5.2/5.3 Hash沖突漏洞補丁發布 請迅速修補
原創【51CTO快訊】前日有信息顯示當前包括PHP、Java、Ruby在內的很多語言版本存在漏洞,PHP官方開發組成員Laruence(新浪微博)表示攻擊者可以通過構造Hash沖突實現拒絕服務攻擊,并提供了實例。這個攻擊方法危害很高,攻擊成本也很小,一個臺式機可以輕松搞垮數十臺、上百臺服務器。
此漏洞一出,相當于隨便一個攻擊者就可以DDoS掉世界上的大部分網站!危害等級絕對是核彈級別。因此,PHP官方開發組緊急發布了補丁,請大家盡速修補。
PHP方面,<= 5.3.8, <= 5.4.0RC3的所有版本均會受此漏洞影響。PHP 5.3.9和PHP 5.4.0已經包含了針對此漏洞的補丁,但由于兩個版本目前仍然在RC狀態,無法用于生產服務器升級。至于PHP 5.2,官方開發組表示不會為了這個漏洞發布新版。
官方目前提供的解決方案是給自己的PHP環境打一個Patch,5.2和5.3都可以使用。Patch地址如下:
https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars
使用方法:
1. cd 到 php src,運行: patch -p1 < php-5.2.*-max-input-vars.patch 2. 最新的 PHP 5.3.9-RC4 已經修復了本漏洞,5.3 的用戶可以直接升級到 5.3.9-RC4 。 當然,如果您不想更新到一個RC版本,那么也可以很簡單的修改上面這個補丁,應用到 5.3 的相應版本上。
Laruence還建議其他語言java, ruby等,請各位也預先想好對策,限制post_size是治標不治本的方法,不過可以用來做臨時解決方案。
臨時解決方案參考:五四陳科學院
此外,微軟也已經緊急發布了更新,修復了ASP.net上的該漏洞:
http://netsecurity.51cto.com/art/201112/310628.htm
查詢清單
目前已知的受影響的語言以及版本有::
- Java, 所有版本
- JRuby <= 1.6.5
- PHP <= 5.3.8, <= 5.4.0RC3
- Python, 所有版本
- Rubinius, 所有版本
- Ruby <= 1.8.7-p356
- Apache Geronimo, 所有版本
- Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22
- Oracle Glassfish <= 3.1.1
- Jetty, 所有版本
- Plone, 所有版本
- Rack, 所有版本
- V8 JavaScript Engine, 所有版本
不受此影響的語言或者修復版本的語言有::
- PHP >= 5.3.9, >= 5.4.0RC4
- JRuby >= 1.6.5.1
- Ruby >= 1.8.7-p357, 1.9.x
- Apache Tomcat >= 5.5.35, >= 6.0.35, >= 7.0.23
- Oracle Glassfish, N/A (Oracle reports that the issue is fixed in the main codeline and scheduled for a future CPU)
- CVE: CVE-2011-4885 (PHP), CVE-2011-4461 (Jetty), CVE-2011-4838 (JRuby), CVE-2011-4462 (Plone), CVE-2011-4815 (Ruby)
(以上內容來自 http://www.ocert.org/advisories/ocert-2011-003.html )
參考:
感謝崔曉輝提供本線索。