• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 應(yīng)用
  • -
    • PHP代碼執(zhí)行后門植入漏洞
    • CNNVD編號(hào):未知
    • 危害等級(jí): 高危 
    • CVE編號(hào):未知
    • 漏洞類型: 遠(yuǎn)程代碼執(zhí)行
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時(shí)間:2021-05-06
    • 更新時(shí)間:2021-05-06

    漏洞簡介

    1、組件介紹

    PHP(Hypertext Preprocessor)即“超文本預(yù)處理器”,是在服務(wù)器端執(zhí)行的腳本語言,尤其適用于Web開發(fā)并可嵌入HTML中。PHP語法利用了C、Java和Perl,該語言的主要目標(biāo)是允許web開發(fā)人員快速編寫動(dòng)態(tài)網(wǎng)頁。

    PHP原始為Personal Home Page的縮寫,已經(jīng)正式更名為 "PHP: Hypertext Preprocessor"。自20世紀(jì)90年代國內(nèi)互聯(lián)網(wǎng)開始發(fā)展到現(xiàn)在,互聯(lián)網(wǎng)信息幾乎覆蓋了我們?nèi)粘;顒?dòng)所有知識(shí)范疇,并逐漸成為我們生活、學(xué)習(xí)、工作中必不可少的一部分。據(jù)統(tǒng)計(jì),從2003年開始,我國的網(wǎng)頁規(guī)模基本保持了翻番的增長速度,并且呈上升趨勢(shì)。PHP語言作為當(dāng)今最熱門的網(wǎng)站程序開發(fā)語言,它具有成本低、速度快、可移植性好、內(nèi)置豐富的函數(shù)庫等優(yōu)點(diǎn),因此被越來越多的企業(yè)應(yīng)用于網(wǎng)站開發(fā)中。

    2、漏洞描述

    2021年3月28日,深信服安全團(tuán)隊(duì)監(jiān)測到一則安全事件:

    有身份不明人士入侵了PHP編程語言的官方Git服務(wù)器:http://git.php.net,并上傳了未經(jīng)授權(quán)的更新包,而包中源代碼被插入了秘密后門代碼。事件威脅等級(jí):高危。

    該后門使得攻擊者使用特殊的HTTP頭部時(shí),可以執(zhí)行任意命令,對(duì)于任何使用了存在后門PHP的服務(wù)器來說都有巨大的風(fēng)險(xiǎn)和威脅。

    漏洞公示

    搭建8.1.0-dev版本PHP環(huán)境,復(fù)現(xiàn)該漏洞,效果如下:


    參考網(wǎng)站

    暫無

    受影響實(shí)體

    PHP語言作為網(wǎng)站開發(fā)的通用語言,簡單易行,可移植性好,應(yīng)用空間廣泛,受到網(wǎng)站開發(fā)人員的大力歡迎,是世界上最流行的編程語言之一,因此此次植入后門事件造成的危害巨大。


    目前受影響的PHP版本:

    PHP 8.1.0-dev

    git commit ID

    [c730aa26bd52829a49f2ad284b181b7e82a68d7d -

     2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a]

    (在這兩次提交之間的PHP源碼存在植入的后門)

    補(bǔ)丁

    1、如何檢測組件系統(tǒng)版本

    檢查自己在GitHub上拉取的PHP 8.1.0庫是否在以下兩個(gè)commit ID之間:

    [c730aa26bd52829a49f2ad284b181b7e82a68d7d - 

    2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a]

    2、官方修復(fù)建議

    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:

    https://github.com/php/php-src

    3、深信服解決方案

    【深信服下一代防火墻】可輕松防御此漏洞, 建議部署深信服下一代防火墻的用戶更新至最新的安全防護(hù)規(guī)則,可輕松抵御此高危風(fēng)險(xiǎn)。

    【深信服安全感知平臺(tái)】可檢測利用該漏洞的攻擊,實(shí)時(shí)告警,并可聯(lián)動(dòng)【深信服下一代防火墻等產(chǎn)品】實(shí)現(xiàn)對(duì)攻擊者ip的封堵。

    【深信服安全云眼】在漏洞爆發(fā)之初,已完成檢測更新,對(duì)所有用戶網(wǎng)站探測,保障用戶安全。不清楚自身業(yè)務(wù)是否存在漏洞的用戶,可注冊(cè)信服云眼賬號(hào),獲取30天免費(fèi)安全體驗(yàn)。注冊(cè)地址:http://saas.sangfor.com.cn

    【深信服云鏡】在漏洞爆發(fā)第一時(shí)間即完成檢測能力的發(fā)布,部署云端版云鏡的用戶只需選擇緊急漏洞檢測,即可輕松、快速檢測此高危風(fēng)險(xiǎn)。部署離線版云鏡的用戶需要下載離線更新包來獲取該漏洞的檢測能力。