PHP-CGI 查詢字串參數漏洞
最後更新
2012年06月04日
發佈日期:
2012年05月07日
2513
觀看次數
風險: 高度風險
類型: 伺服器 - 互聯網應用伺服器
在 PHP發現多個漏洞,遠端使用者可利用漏洞洩露某些資訊,或控制受影響系統。
由於在編譯某些參數時產生錯誤。惡意的人可利用漏洞,洩露 PHP源始碼或執行任意程式碼。
影響
- 遠端執行程式碼
- 資料洩露
受影響之系統或技術
- PHP 5.3.x
- PHP 5.4.x
解決方案
- 安裝修補程式
PHP 已發佈版本 5.4.2 及 5.3.12 來修補此漏洞。 PHP 建議使用者升級至最新的 PHP 版本。 - 使用 mod_rewrite 規條
PHP 提出的另外的方案是設置網絡伺服器,使網絡伺服器不接受用"-"為開首及含有"="的查詢字符串請求。添加以上條件應不會破壞任何網站。 於 Apache 使用 mod_rewrite,應如下所示:
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]
漏洞識別碼
資料來源
相關連結
分享至