|
|
 |
|
|
|
|
|
||||||
|
|
|
|
|
网上订货 |
|
|
|
发布日期: 2002-3-4 John Leyden 在流行的开放源代码脚本语言PHP中的漏洞,可能使得黑客在受害者或者是一个被入侵的网络服务器的系统上执行任意的代码,安全资料发行机构CERT警告说。 这种脆弱性出现于PHP处理多部分/表单数据POST请求的时候,这可能给予黑客不同攻击的可能性,并且难度也会有所不同。 在德国安全咨询公司e-matters的一个PHP研究员,Stefan Esser,这个发现了这个漏洞的人的测试,显示不仅PHP4,而且更早的PHP3版本也易受攻击。 大多数这些脆弱性的存在只能在Linux或者是Solaris上被利用,但是一个微型的攻击只能在x86上执行,并且在PHP3上任意的溢出能够相对简单的在大多数的平台上被利用,包括BSD。 根据我们接触的一个PHP黑客工具,目标是Lunix的服务器,正在流行的过程中,尽管它现在还没有被广泛的使用。 作为一个工作区,使用PHP 4.0.3或者以上版本的用户,能够通过禁用文件上传支持来减低他们在危险面前的暴露程度。 但是更好的解决方法是,将PHP升级到4.1.2的版本,或者给更早版本的软件使用补丁,这些补丁现在已经能够下载的到了、因为文件上传代码可能在4.2.0的版本中完全重写,研究者使用这个脚本语言的版本来使得软件对于漏洞完全免疫。 PHP是一个在网络开发中广泛使用的脚本语言,PHP能够被安装在很多的网络服务器上面,包括Apache,IIS,Netscape和iPlanet,以及其他。不使用PHP的服务器是不受这个问题的影响的。 |
PHP漏洞导致黑客威胁