PHP 多個(gè)遠(yuǎn)程執(zhí)行代碼漏洞
- CNNVD編號(hào):未知
- 危害等級(jí): 未知
- CVE編號(hào):未知
- 漏洞類型: 未知
- 威脅類型:未知
- 廠 商:未知
- 漏洞來源:深信服
- 發(fā)布時(shí)間:2022-06-24
- 更新時(shí)間:2022-06-24
漏洞簡介
2022年6月10日,深信服安全團(tuán)隊(duì)監(jiān)測到一則 PHP 官方發(fā)布漏洞通告,共修復(fù)了 2 個(gè)安全漏洞,其中包含 2個(gè)高危漏洞的信息。
PHP 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-31626)
該漏洞源于在 PHP 的 mysqlnd 擴(kuò)展(MySQL 數(shù)據(jù)庫擴(kuò)展)中存在緩沖區(qū)溢出的安全問題,攻擊者可利用該漏洞在未授權(quán)情況下,偽造 MySQL 服務(wù)器與目標(biāo)站點(diǎn)連接,最終可獲取服務(wù)器最高權(quán)限。
PHP 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-31625)
該漏洞源于在 PHP 源碼中存在數(shù)組內(nèi)存未初始化會(huì)導(dǎo)致遠(yuǎn)程代碼執(zhí)行的安全問題,攻擊者可利用該漏洞在未授權(quán)情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行攻擊,最終可獲取服務(wù)器最高權(quán)限。
漏洞公示
暫無
參考網(wǎng)站
https://bugs.php.net/bug.php?id=81719
https://bugs.php.net/bug.php?id=81720
受影響實(shí)體
PHP 是一種開源的通用計(jì)算機(jī)腳本語言,尤其適用于網(wǎng)絡(luò)開發(fā)并可嵌入 HTML 中使用。使用 PHP 開發(fā)的站點(diǎn)廣泛遍布于全球,因此可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,涉及用戶量較大,導(dǎo)致漏洞影響力很大。
補(bǔ)丁
當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:
Windows系統(tǒng):
https://windows.php.net/download
Linux系統(tǒng):
主動(dòng)檢測
支持對(duì) PHP 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-31626)、PHP 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-31625)的主動(dòng)檢測,可批量快速檢出業(yè)務(wù)場景中該事件的受影響資產(chǎn)情況,相關(guān)產(chǎn)品如下:
【深信服云鏡YJ】預(yù)計(jì)2022年6月13日發(fā)布解決方案。
【深信服漏洞評(píng)估工具TSS】預(yù)計(jì)2022年6月13日發(fā)布解決方案。
【深信服安全托管服務(wù)MSS】預(yù)計(jì)2022年6月13日發(fā)布解決方案。