PHP7曝出三个高危0-day漏洞，还有一个仍未修复

PHP7出现三个高危0-day漏洞，可允许攻击者完全控制PHP网站。

这三个漏洞出现在PHP7的反序列化机制中，而PHP5的反序列机制也曾曝出漏洞，在过去几年中，黑客利用该漏洞将恶意代码编入客户机cookie并发送，从而入侵了Drupal、Joomla、Magento、vBulletin和PornHub等网站。

漏洞概况

最近，Check Point的exploit研究团队安全人员花费数个月时间，检查PHP7的反序列化机制，并发现了该机制中的“三个新的、此前未知的漏洞”。

虽然此次的漏洞出现在相同机制中，但PHP7中的漏洞与此前PHP5中的并不相同。

三个漏洞编号分别为CVE-2016-7479、CVE-2016-7480和CVE-2016-7478，其利用方式与Check Point八月份详细报道的CVE-2015-6832漏洞类似。

• CVE-2016-7479：释放后使用代码执行
• CVE-2016-7480：使用未初始化值代码执行
• CVE-2016-7478：远程拒绝服务

影响和修复

前两个漏洞如遭利用，将允许攻击者完全控制目标服务器，攻击者可以传播恶意程序、盗取或篡改客户数据等。如果第三个漏洞被利用，则可造成DoS攻击，可使目标网站资源系统耗尽并最终关闭，点击此处查看完整分析报告。

根据Check Point安全研究人员Yannay Livneh的说法，上述三个漏洞都未被黑客利用。Check Point的研究人员已在9月15日和8月6日依次将三个漏洞报给了PHP安全团队。

PHP安全团队已在10月13日和12月1日发布了针对其中两个漏洞的补丁，但还有一个仍未修复。为保证Web服务器安全，用户应将服务器PHP版本升至最新。

网站标题：PHP7曝出三个高危0-day漏洞，还有一个仍未修复
网址分享：http://www.mswzjz.cn/qtweb/news9/416559.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能