跳至主內容

PHP-CGI 查詢字串參數漏洞

最後更新 2012年06月04日 發佈日期: 2012年05月07日 2627 觀看次數

風險: 高度風險

類型: 伺服器 - 互聯網應用伺服器

類型: 互聯網應用伺服器

在 PHP發現多個漏洞,遠端使用者可利用漏洞洩露某些資訊,或控制受影響系統。

 

由於在編譯某些參數時產生錯誤。惡意的人可利用漏洞,洩露 PHP源始碼或執行任意程式碼。


影響

  • 遠端執行程式碼
  • 資料洩露

受影響之系統或技術

  • PHP 5.3.x
  • PHP 5.4.x

解決方案

  • 安裝修補程式
    PHP 已發佈版本 5.4.2 及 5.3.12 來修補此漏洞。 PHP 建議使用者升級至最新的 PHP 版本。
  • 使用 mod_rewrite 規條
    PHP 提出的另外的方案是設置網絡伺服器,使網絡伺服器不接受用"-"為開首及含有"="的查詢字符串請求。添加以上條件應不會破壞任何網站。 於 Apache 使用 mod_rewrite,應如下所示:
    RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
    RewriteRule ^(.*) $1? [L]

漏洞識別碼


資料來源


相關連結