php7出现三个高危0-day漏洞,可允许攻击者完全控制PHP网站。
这三个漏洞出现在PHP7的反序列化机制中,而PHP5的反序列机制也曾曝出漏洞,在过去几年中,黑客利用该漏洞将恶意代码编入客户机cookie并发送,从而入侵了Drupal、Joomla、Magento、vBulletin和PornHub等网站。
漏洞概况
最近,Check Point的exploit研究团队安全人员花费数个月时间,检查PHP7的反序列化机制,并发现了该机制中的“三个新的、此前未知的漏洞”。
虽然此次的漏洞出现在相同机制中,但PHP7中的漏洞与此前PHP5中的并不相同。
三个漏洞编号分别为CVE-2016-7479、CVE-2016-7480和CVE-2016-7478,其利用方式与Check Point八月份详细报道的CVE-2015-6832漏洞类似。
CVE-2016-7479:释放后使用代码执行
CVE-2016-7480:使用未初始化值代码执行
CVE-2016-7478:远程拒绝服务
影响和修复
前两个漏洞如遭利用,将允许攻击者完全控制目标服务器,攻击者可以传播恶意程序、盗取或篡改客户数据等。如果第三个漏洞被利用,则可造成DoS攻击,可使目标网站资源系统耗尽并最终关闭。
根据Check Point安全研究人员Yannay Livneh的说法,上述三个漏洞都未被黑客利用。Check Point的研究人员已在9月15日和8月6日依次将三个漏洞报给了PHP安全团队。
PHP安全团队已在10月13日和12月1日发布了针对其中两个漏洞的补丁,但还有一个仍未修复。为保证Web服务器安全,用户应将服务器PHP版本升至最新。