| | | 发现严重漏洞 PHP紧急升级至4.1.2! | | 2002-03-01·
· ··Yesky
| 27日,因为一个远程攻击的漏洞被发现,PHP小组紧急发布了最新的4.1.2版。大家知道,PHP支持multipart/form-data POST请求,也正是因为这一点,PHP在处理这些请求的过程中会暴露出多个漏洞。这些漏洞可以被黑可利用,进行远程攻击。据了解,这一漏洞几乎存在于以前的所有版本中,所以强烈建议大家升到4.1.2或为以前的版本打补丁。
该安全漏洞是由于PHP不能正确检查数据边界,导致数据溢出造成的。“虽然一般的黑客很难利用该漏洞,但是结果却相当危险。”网络安全专家Johannes Ullrich解释说,全球900多万台安装有PHP脚本程序的服务器都有可能面临灾难。
据Ullrich介绍,PHP原本是为个人主页服务的程序,因为它简单易用受到网络开发者的普遍欢迎,所以现在被大量应用于网络服务器中。另外,PHP还可以在不同的服务器环境下工作,例如Linux、iPlanet、Apache以及微软的IIS等。
但是当PHP与Linux或者Sun公司的Solaris操作系统配合工作时,就会出现上述安全问题;而名声一直不佳的IIS服务器却表现得很稳定。据悉,从PHP 3.10到PHP 4.1.1,普遍存在此安全漏洞。
Ullrich说:“目前知道该漏洞的人有两种:第一种大声呼吁网络管理员尽快升级自己的PHP程序;第二种人则悄悄地利用该漏洞进行破坏,或者在聊天室和BBS里向其他人炫耀,甚至以此非法谋利。”
Ullrich认为,该漏洞至少在一个月前就已经被黑客们发现,他建议PHP用户下载最新版本的PHP 4.1.2。 | | | 感谢
访问天极网,如果您觉得该文章涉及版权问题,请看这里!
|
|
