首先我想问你觉得PHP是世界上最好的语言吗?
你肯定回答不上来。
因为仔细思考,每种语言都有各自的特点,在不同的领域发光发热。
PHP居然也会有高危漏洞
超文本预处理器,通常称为PHP,是目前最流行的服务器端Web编程语言。
在我们所知道的服务器端编程语言的所有网站中,超过79%使用 PHP 。因此,你在Internet上访问的每10个网站中几乎有8个以某种方式使用PHP。
但近期,PHP编程语言的维护者发现了一些高危漏洞,其中最严重的漏洞允许远程攻击者在受影响的应用程序中执行具有相关权限的任意代码并破坏目标服务器。
另一方面,失败的攻击尝试可能会导致受影响系统上的拒绝服务(DoS攻击)。
这个缺陷会影响多个组件,包括curl扩展、Exif函数、FastCGI进程管理器(FPM)、Opcache功能等。
其中还有一个漏洞,名为CVE-2019-13224,是一个“免费使用”代码执行问题,存在于Oniguruma中,Oniguruma是一个BSD许可的正则表达式库,支持各种字符编码,它捆绑在几种编程语言中,包括PHP。
远程攻击者可以利用这个漏洞,在受影响的web应用程序中插入一个经过特殊设计的正则表达式,从而可能导致代码执行或信息泄露。
尽快更新你的PHP
这些漏洞可能会使成千上万的依赖PHP的Web应用程序遭受代码执行攻击,包括一些由流行的内容管理系统(如WordPress,Drupal和Typo3)提供支持的网站。
好消息是,到目前为止,还没有任何关于攻击者利用这些安全漏洞的报告。
日前,PHP安全团队已经发布了最新版本的PHP,并解决了这些漏洞。几个最新版本包括PHP版本7.3.9,7.2.22和7.1.32。
因此,为了防范风险,强烈建议用户和主机提供商尽快将其服务器升级到最新的PHP版本。
*本文由看雪编辑 LYA 编译自 The Hacker News
