阿里云
发表主题 回复主题
  • 2879阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-5711:PHP GD库拒绝服务漏洞

级别: 论坛版主
发帖
233
云币
457
Q N]y.(S)y  
2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能,建议用户关注。 ^v5<*uf%m  
具体详情如下: xi[\2g+  

8Z!Mad  
漏洞编号: %%sJ+)  
CVE-2018-5711  7 T  
漏洞名称: {I8C&GS  
PHP GD库拒绝服务漏洞 L*FQ`:lZ  
官方评级: {s>V'+H(F  
高危 a4&Aw7"X  
漏洞描述: ha?M[Vyw4Q  
利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,导致服务中断,对业务存在一定的安全风险。 U:0Ma 6<  
漏洞利用条件和方式: UDW_?SHAx  
通过PoC直接远程利用。 z/,&w_8,:  
PoC状态: .Ta(v3om%  
已公开 8d7 NESYl  
漏洞影响范围: $`[TIyA9!  
nJ}@9v F/  
  • PHP 5     < 5.6.33版本
  • PHP 7.0  < 7.0.27版本
  • PHP 7.1  < 7.1.13版本
  • PHP 7.2  < 7.2.1版本
' eh }t  
漏洞检测: :%>)S  
开发人员检查是否使用了受影响版本范围内的PHP版本。 H128T8?r[  
漏洞修复建议(或缓解措施): r+k g$+%b  
目前PHP官方已经发布新版修复该漏洞,开发或运维人员可以下载手工更新。 `|2g &Vn  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 bTt1yO  
情报来源: JwQ/A[b  
  • http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html
  • http://php.net/
l5#SOo\  
( 8X^pL  
szCB}WY  
[RF6mWQ  
(K_{a+$[  
~owodc  
_2Mpzv  
6Yl+IP];i  
msY6zJc`  
zdm2`D;~p  
e/&^~ $h  
7"F29\  
3W%j^nM  
a`R_}nus*  
<_c8F!K)T  
B77`azwF  
G\o9mEzQ  
Sy' ]fGvx  
eC94rcb}i{  
:a^/&LbLm  
K?Sy ?Kz  
~oJ"si  
skBD2V4  
~GcWG4  
级别: 架构狮
发帖
1240
云币
2008
只看该作者 沙发  发表于: 01-31
      
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个