阿里云
发表主题 回复主题
  • 5349阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-5711:PHP GD库拒绝服务漏洞

级别: 论坛版主
发帖
240
云币
472
WRLu 3nBx  
2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能,建议用户关注。 Q8DQ .C  
具体详情如下: Y>dg10=  

-Iruua7b  
漏洞编号: Y bn=Gy  
CVE-2018-5711 72 s$  
漏洞名称: %T,\xZ  
PHP GD库拒绝服务漏洞 $E4O^0%/p  
官方评级: QAOk  
高危 O'&X aaZV  
漏洞描述: QX.F1T 2e?  
利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,导致服务中断,对业务存在一定的安全风险。 H z < M  
漏洞利用条件和方式: !cFE^VM_;  
通过PoC直接远程利用。 PTI'N%W  
PoC状态: ZAnO$pA  
已公开 g*w-"%"O  
漏洞影响范围: Me K\eZ\  
N?U&(@p  
  • PHP 5     < 5.6.33版本
  • PHP 7.0  < 7.0.27版本
  • PHP 7.1  < 7.1.13版本
  • PHP 7.2  < 7.2.1版本
{C0OrO2:  
漏洞检测: @h7GTA \  
开发人员检查是否使用了受影响版本范围内的PHP版本。 %. 6?\w1e  
漏洞修复建议(或缓解措施): ,rl <ye*&  
目前PHP官方已经发布新版修复该漏洞,开发或运维人员可以下载手工更新。 w_z^5\u0  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 vS*0CR\  
情报来源: ! 4^L $  
  • http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html
  • http://php.net/
o7 -h'b-  
uy*x~v*I]  
ae(]9VW  
xz+`]Q  
$qyM X[  
E6^S2J2  
ygy#^  
y3o4%K8  
fPk9(X;G!p  
}yC,uEV  
tL4]6u  
YDzF( ']o:  
Xde=}9  
~PAbLSL*u  
U+}9X^  
{ZIFj.2  
\3:{LOr%*  
[@FeRIu8  
 v=Bh A9[  
yI|?iBc7nC  
\g[f4xAV  
hpi_0lMkI  
[t=+$pf(-  
|`D5XRVbi  
级别: 架构狮
发帖
1217
云币
1946
只看该作者 沙发  发表于: 01-31
      
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个