首先我想問你覺得PHP是世界上最好的語言嗎?
你肯定回答不上來。
因為仔細思考,每種語言都有各自的特點,在不同的領域發光發熱。
PHP居然也會有高危漏洞
超文本預處理器,通常稱為PHP,是目前最流行的服務器端Web編程語言。
在我們所知道的服務器端編程語言的所有網站中,超過79%使用 PHP 。因此,你在Internet上訪問的每10個網站中幾乎有8個以某種方式使用PHP。
但近期,PHP編程語言的維護者發現了一些高危漏洞,其中最嚴重的漏洞允許遠程攻擊者在受影響的應用程序中執行具有相關權限的任意代碼並破壞目標服務器。
另一方面,失敗的攻擊嘗試可能會導致受影響系統上的拒絕服務(DoS攻擊)。
這個缺陷會影響多個組件,包括curl擴展、Exif函數、FastCGI進程管理器(FPM)、Opcache功能等。
其中還有一個漏洞,名為CVE-2019-13224,是一個“免費使用”代碼執行問題,存在於Oniguruma中,Oniguruma是一個BSD許可的正則表達式庫,支持各種字符編碼,它捆綁在幾種編程語言中,包括PHP。
遠程攻擊者可以利用這個漏洞,在受影響的web應用程序中插入一個經過特殊設計的正則表達式,從而可能導致代碼執行或信息洩露。
儘快更新你的PHP
這些漏洞可能會使成千上萬的依賴PHP的Web應用程序遭受代碼執行攻擊,包括一些由流行的內容管理系統(如WordPress,Drupal和Typo3)提供支持的網站。
好消息是,到目前為止,還沒有任何關於攻擊者利用這些安全漏洞的報告。
日前,PHP安全團隊已經發布了最新版本的PHP,並解決了這些漏洞。幾個最新版本包括PHP版本7.3.9,7.2.22和7.1.32。
因此,為了防範風險,強烈建議用戶和主機提供商儘快將其服務器升級到最新的PHP版本。
*本文由看雪編輯 LYA 編譯自 The Hacker News
