阿里云
发表主题 回复主题
  • 2833阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-5711:PHP GD库拒绝服务漏洞

级别: 论坛版主
发帖
233
云币
457
{{?[b^  
2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能,建议用户关注。 / ` 7p'i  
具体详情如下: yH8 N8  

^< ,Np+  
漏洞编号: I =t{ u;  
CVE-2018-5711 8S>T1st  
漏洞名称: T/" 6iv\1  
PHP GD库拒绝服务漏洞  >y&4gm  
官方评级: uOqWMRsoi  
高危 |-hzvuSX  
漏洞描述: fL8+J]6A6  
利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,导致服务中断,对业务存在一定的安全风险。 Syn>;FX  
漏洞利用条件和方式: l("Dw8 H  
通过PoC直接远程利用。 ; 2vHdN  
PoC状态: `":ch9rK  
已公开 f!~gfnn  
漏洞影响范围: %p}_4+[;  
&Z_W*D  
  • PHP 5     < 5.6.33版本
  • PHP 7.0  < 7.0.27版本
  • PHP 7.1  < 7.1.13版本
  • PHP 7.2  < 7.2.1版本
Z~t OR{q  
漏洞检测: > ln%3 =  
开发人员检查是否使用了受影响版本范围内的PHP版本。 !aD/I%X  
漏洞修复建议(或缓解措施): }Lx?RU+@=  
目前PHP官方已经发布新版修复该漏洞,开发或运维人员可以下载手工更新。 )k0P' zGb  
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 WlF"[mU-  
情报来源: cbl2D5s+i]  
  • http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html
  • http://php.net/
(z0S5#g ,x  
/lSz8h2  
31LXzQvFG  
q&Sd+y&  
8 kw`=wSH>  
I=wP"(2  
@eN x:}  
lkK+Fm  
^zHBDRsb2F  
F kp;G  
Au$|@  
}\`MXh's  
%^m6Q!  
F_=RY ]  
5 fjeBfy  
Lc6Wj'G G  
a&~d,vC  
Ns2M8  
@CU3V+  
j0!Z 20  
a|`Pg1j#  
L5E.`^?  
(Bd8@}\u_  
]'=]=o~4  
级别: 架构狮
发帖
1240
云币
2003
只看该作者 沙发  发表于: 01-31
      
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个