当前位置:安全资讯 >> 全文

PHP 7反序列化机制中存在多个漏洞

发布时间:2016-12-29 17:13
分享到 0

来自Check Point的安全研究人员披露称,PHP 7的“反序列化”功能遭受一系列漏洞的影响,攻击者可完全控制受影响服务器。

这些漏洞是CVE-2016-7479CVE-2016-7480CVE-2016-7478,虽然它们是新漏洞但被利用的方式跟8月份公布的一个漏洞类似。这个漏洞是SPL中的释放后使用漏洞,可被“PHP-7反序列化漏洞的可重复使用的利用基元”利用。

在关于利用的完整报告中,安全专家指出,这个反序列化功能可被用于读取内存、伪造对象,并在受影响服务器中实现代码执行。他们还强调称虽然多年来已证明这个功能具有危险性,但人们仍然在使用。

8月份,安全研究人员指出之前提及的可重复使用的利用基元可被用于所有在反序列化机制中的所有漏洞中。而现在他们指出这些新发现的漏洞可以类似方式利用,也就是说印证了之前的说法。

此外,研究人员还指出,这些漏洞已被黑客在PHP 5中大量利用,他们的目的是攻陷流行的平台如MagentovBulletinDrupalJoomal!。攻击者还能够攻陷其它网络服务器,方法是在客户端cookie中发送恶意编制的数据。

安全研究人员指出前两个漏洞允许攻击者完全控制受影响的服务器,因此黑客能够“在网站上肆意妄为比如传播恶意软件、涂鸦站点或者窃取客户数据”。第三个漏洞可被用于生成DoS攻击,而攻击者则可挂起网站耗尽内存随后将其关闭。这三个安全问题在本周公之于众,不过它们早在年初就已经被发现。研究人员在915日和86日将漏洞告知PHP安全团队。其中两个漏洞在1013日和121日修复,不过还有一个漏洞仍未被修复。

安全研究人员指出,“PHP 7是最新发布的流行网络编程语言,它驱动着80%的网站,为站长和开发人员提供了极大的优势,比如将性能翻番并增加无数功能。不过它也代表着一种新的攻击向量,因此黑客能从中发现新漏洞。”

本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。
原文链接:http://www.securityweek.com/vulnerabilities-plague-php-7s-unserialize-mechanism
参与讨论,请先 登录 | 注册

用户评论