近日,PHP官方发布漏洞通告,共修复了2个安全漏洞,其中包含2个高危漏洞的信息。
该漏洞源于在PHP的mysqlnd扩展(MySQL数据库扩展)中存在缓冲区溢出的安全问题,攻击者可利用该漏洞在未授权情况下,伪造MySQL服务器与目标站点连接,最终可获取服务器最高权限。
影响版本: 8.1.0 ≤ PHP < 8.1.7 8.0.0 ≤ PHP < 8.0.20 7.0.0 ≤ PHP < 7.4.30
该漏洞源于在PHP源码中存在数组内存未初始化会导致远程代码执行的安全问题,攻击者可利用该漏洞在未授权情况下,构造恶意数据执行攻击,最终可获取服务器最高权限。
影响版本: 8.1.0 ≤ PHP < 8.1.7 8.0.0 ≤ PHP < 8.0.20 7.0.0 ≤ PHP < 7.4.30
5.3.0 ≤ PHP ≤ 5.6.40
影响范围:
PHP是一种开源的通用计算机脚本语言,尤其适用于网络开发并可嵌入HTML中使用。使用PHP开发的站点广泛遍布于全球,因此此可能受漏洞影响的资产广泛分布于世界各地,涉及用户量较大,导致漏洞影响力很大。
官方解决方案:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
Windows系统:
https://windows.php.net/download
Linux系统:
https://www.php.net/downloads.php
信息化技术中心
2022.6
