PHP 5.4.3和5.3.13 發布
作者:ugmbbc
當 PHP 以 CGI 模式運行時 (如 Apache 的 mod_cgid), php-cgi 會接受處理一個查詢字符串作為命令行參數以開啟某些功能。
PHP今天再次發布了一個更新,修復了前個版本未能修復的 php-cgi漏洞。星期三, 一個 PHP 遠程代碼執行漏洞被意外公開在網上, 引發了利用此漏洞可對大量網站實施入侵的恐慌.
該 bug 可以追溯到 2004 年, 在最近的 CTF 比賽中被暴露. ‘當 PHP 以 CGI 模式運行時 (如 Apache 的 mod_cgid), php-cgi 會接受處理一個查詢字符串作為命令行參數以開啟某些功能。
如 -s, -d 或 -c 傳遞給 php-cgi, 此處存在的漏洞可以允許攻擊者查看源碼或進行任意代碼執行' CERT 說. PHP 開發者向 PHP 5.3.12 和 5.4.2 發布了補丁, 但很快被發現補丁并未能真的修補該漏洞.
PHP 5 ChangeLog Version 5.4.308-May-2012
Fixed bug #61807 Buffer Overflow in apache_request_headers, CVE-2012-2329.
Fixed bug #61910 Improve fix for PHP-CGI query string parameter vulnerability, CVE-2012-2311. Version 5.3.1308-May-2012
Fixed bug #61910 Improve fix for PHP-CGI query string parameter vulnerability, CVE-2012-2311.
責任編輯:張偉
來源:
中文業界資訊站
