PHP7出現三個高危0-day漏洞，可允許攻擊者完全控制PHP網站。

[[180608]]

這三個漏洞出現在PHP7的反序列化機制中，而PHP5的反序列機制也曾曝出漏洞，在過去幾年中，黑客利用該漏洞將惡意代碼編入客戶機cookie并發送，從而入侵了Drupal、Joomla、Magento、vBulletin和PornHub等網站。

漏洞概況

最近，Check Point的exploit研究團隊安全人員花費數個月時間，檢查PHP7的反序列化機制，并發現了該機制中的“三個新的、此前未知的漏洞”。

雖然此次的漏洞出現在相同機制中，但PHP7中的漏洞與此前PHP5中的并不相同。

三個漏洞編號分別為CVE-2016-7479、CVE-2016-7480和CVE-2016-7478，其利用方式與Check Point八月份詳細報道的CVE-2015-6832漏洞類似。

• CVE-2016-7479：釋放后使用代碼執行
• CVE-2016-7480：使用未初始化值代碼執行
• CVE-2016-7478：遠程拒絕服務

影響和修復

前兩個漏洞如遭利用，將允許攻擊者完全控制目標服務器，攻擊者可以傳播惡意程序、盜取或篡改客戶數據等。如果第三個漏洞被利用，則可造成DoS攻擊，可使目標網站資源系統耗盡并最終關閉，點擊此處查看完整分析報告。

根據Check Point安全研究人員Yannay Livneh的說法，上述三個漏洞都未被黑客利用。Check Point的研究人員已在9月15日和8月6日依次將三個漏洞報給了PHP安全團隊。

PHP安全團隊已在10月13日和12月1日發布了針對其中兩個漏洞的補丁，但還有一個仍未修復。為保證Web服務器安全，用戶應將服務器PHP版本升至最新。