阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 7603阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-5711:PHP GD库拒绝服务漏洞

级别: 论坛版主
发帖
241
云币
478
9+=U&*  
2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能,建议用户关注。 5H==m~  
具体详情如下: `6 lc]r  

Uh?SDay  
漏洞编号: tB}&-U|t[~  
CVE-2018-5711 nd_d tsp#  
漏洞名称: yZ6560(q  
PHP GD库拒绝服务漏洞 04:^<n+{  
官方评级: A(Ugam~}  
高危 W?F+QmD  
漏洞描述: aQ]C`9k  
利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,导致服务中断,对业务存在一定的安全风险。 (Pc:A! }  
漏洞利用条件和方式: TS$ 2K  
通过PoC直接远程利用。 |CY.Y,  
PoC状态: Bz9!a k~4  
已公开 gAgzM?A1(  
漏洞影响范围: ?o),F^ir  
^C_Y[i ~|  
  • PHP 5     < 5.6.33版本
  • PHP 7.0  < 7.0.27版本
  • PHP 7.1  < 7.1.13版本
  • PHP 7.2  < 7.2.1版本
EmVE<kY .  
漏洞检测: !95ZK.UT  
开发人员检查是否使用了受影响版本范围内的PHP版本。 k1_f7_m  
漏洞修复建议(或缓解措施): hqD]^P>l1  
目前PHP官方已经发布新版修复该漏洞,开发或运维人员可以下载手工更新。 rC[*x}  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 j5G8IP_Wx  
情报来源: QP >P  
  • http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html
  • http://php.net/
l`~*" 4|/  
w2YfFtgD,  
"^Tb8!  
k^S=i_ U  
xuv%mjQ  
arrNx|y  
*(PGL YK  
lBgf' b3$  
& LwR9\sh  
b Zn:q[7  
SLD%8:Zn  
M0S}-eXc5  
B'lWs;  
uv/I`[@HK8  
5nkx8JJ  
K;sH0*  
XWf8ZZj  
UMma|9l(i  
_b&Mrd  
Wr a W  
(I IPrW;>  
&<_*yl p  
8 T):b2h  
{W)Kz_  
级别: 架构狮
发帖
1217
云币
1946
只看该作者 沙发  发表于: 2018-01-31
      
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)