阿里云
发表主题 回复主题
  • 5049阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-5711:PHP GD库拒绝服务漏洞

级别: 论坛版主
发帖
240
云币
472
q?4uH;h:^G  
2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能,建议用户关注。 qEr[fC@x  
具体详情如下: e&4u^'+K  

~[q:y|3b  
漏洞编号: J*X.0&Toc  
CVE-2018-5711 8]\h^k4f  
漏洞名称: J)|K/W9  
PHP GD库拒绝服务漏洞 b'5pQ2Mq  
官方评级: 6CRPdLTDf  
高危 {OrE1WHB  
漏洞描述: 0\nhg5]?  
利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,导致服务中断,对业务存在一定的安全风险。 _Pi:TxY   
漏洞利用条件和方式: [F[<2{FQF  
通过PoC直接远程利用。 F)kLlsp  
PoC状态: &"%|`gE  
已公开 X]"OW  
漏洞影响范围: ^>{;9 lo<  
D@W3;T^  
  • PHP 5     < 5.6.33版本
  • PHP 7.0  < 7.0.27版本
  • PHP 7.1  < 7.1.13版本
  • PHP 7.2  < 7.2.1版本
,ri--<  
漏洞检测: p!QneeA`&X  
开发人员检查是否使用了受影响版本范围内的PHP版本。 G0Tc}_o<Y  
漏洞修复建议(或缓解措施): aEdJri  
目前PHP官方已经发布新版修复该漏洞,开发或运维人员可以下载手工更新。 ]mo<qWRc>p  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 c$:=d4t5$  
情报来源: <?Izfl6  
  • http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html
  • http://php.net/
@<yc .>  
Yf)|ws?!  
Le:mMd= G  
9Sl|l.;!  
Rn_W|"  
tF g'RV{  
u4M2Ec  
xYVjUb(,X  
~2DV{dyj  
3=|2Gs?ut  
f%[ukMj&  
SJc@iffS  
(Cd{#j<  
~G:2iSi(#  
J}_Dpb[L  
=/QU$[7X(  
+y4AUU:Q  
!"x7re  
C 3XZD4.2  
c ^bk:=uj  
I&fh  
CC(*zrOd-  
^8l3j4  
ZWhmO=b!  
级别: 架构狮
发帖
1217
云币
1936
只看该作者 沙发  发表于: 01-31
      
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个