PHP 5.6.x < 5.6.36 Multiple Vulnerabilities
Contents
参考资料
PHP 5.6.x < 5.6.36 Multiple Vulnerabilities
https://www.tenable.com/plugins/nessus/109576
PHP 5.6.x < 5.6.34 Stack Buffer Overflow
https://www.tenable.com/plugins/nessus/107216
影响说明
https://php.net/ChangeLog-5.php#5.6.36
Exif
Fixed bug #76130 (Heap Buffer Overflow (READ: 1786) in exif_iif_add_value). (CVE-2018-10549)
iconv:
Fixed bug #76249 (stream filter convert.iconv leads to infinite loop on invalid sequence). (CVE-2018-10546)
LDAP:
Fixed bug #76248 (Malicious LDAP-Server Response causes Crash). (CVE-2018-10548)
Phar
Fixed bug #76129 (fix for CVE-2018-5712 may not be complete). (CVE-2018-10547)
检测方法
Nessus 只是检查了 HTTP 响应头 X-Powered-By: PHP/5.6.31。
因此只要使用 Chrome 的 DevTools 对页面进行抓包检测即可进行复测。
另一方面,如果禁用响应中出现 X-Powered-By ,即可规避 Nessus 的检测 ,但是并没有在实质上解决问题。
解决方案
升级到高版本 PHP
Windows环境
对于 WAMP 环境,可以参考直接安装 WAMP 插件以升级 PHP
WAMP 插件的下载地址在 http://wampserver.aviatechno.net/
可以根据情况下载 PHP 5.6.37 64 bit x64 或 PHP 5.6.37 32 bit x86 。
http://wp.blkstone.me/2018/08/01/wamp-upgrade-php/
Linux 环境
CentOS 升级 PHP
How to Install PHP 5.4, PHP 5.5 or PHP 5.6 on CentOS 6
https://www.tecmint.com/install-php-5-4-php-5-5-or-php-5-6-on-centos-6/
How to Upgrade PHP version 5.4 to 5.5 on CentOS/RHEL 5/6/7
http://www.techoism.com/how-to-upgrade-php-version-5-4-to-5-5-on-centosrhel/
补充说明
暂无
Leave a Reply