PHP 5.2/5.3 Hash漏洞补丁发布
此漏洞一出,相当于随便一个攻击者就可以DDoS掉世界上的大部分网站!危害等级绝对是核弹级别。因此,PHP官方开发组紧急发布了补丁,请大家尽速修补。
PHP方面,
官方目前提供的解决方案是给自己的PHP环境打一个Patch,5.2和5.3都可以使用。Patch地址如下:
https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars
使用方法:
1. cd 到 php src,运行: patch -p1
2. 最新的 PHP 5.3.9-RC4 已经修复了本漏洞,5.3 的用户可以直接升级到 5.3.9-RC4 。
当然,如果您不想更新到一个RC版本,那么也可以很简单的修改上面这个补丁,应用到 5.3 的相应版本上。
Laruence还建议其他语言java, ruby等,请各位也预先想好对策,限制post_size是治标不治本的方法,不过可以用来做临时解决方案。
临时解决方案参考:http://www.54chen.com/php-tech/hashdos.html
此外,微软也已经紧急发布了更新,修复了ASP.net上的该漏洞:
http://netsecurity.51cto.com/art/201112/310628.htm
查询清单
目前已知的受影响的语言以及版本有::
Java, 所有版本
JRuby
PHP
Python, 所有版本
Rubinius, 所有版本
Ruby
Apache Geronimo, 所有版本
Apache Tomcat
Oracle Glassfish
Jetty, 所有版本
Plone, 所有版本
Rack, 所有版本
V8 JavaScript Engine, 所有版本
不受此影响的语言或者修复版本的语言有::
PHP >= 5.3.9, >= 5.4.0RC4
JRuby >= 1.6.5.1
Ruby >= 1.8.7-p357, 1.9.x
Apache Tomcat >= 5.5.35, >= 6.0.35, >= 7.0.23
Oracle Glassfish, N/A (Oracle reports that the issue is fixed in the main codeline and scheduled for a future CPU)
CVE: CVE-2011-4885 (PHP), CVE-2011-4461 (Jetty), CVE-2011-4838 (JRuby), CVE-2011-4462 (Plone), CVE-2011-4815 (Ruby)
推荐阅读
-
PHP 5.2/5.3 Hash漏洞补丁发布
-
PHP5.2.*防止Hash冲突拒绝服务攻击的Patch
-
PHP 5.2/5.3 Hash漏洞补丁发布
-
关于压缩的一个有关问题,ZipArchive在PHP5.2和PHP5.3用法不一样吗
-
PHP 5.2 5.3 5.4 5.5 memcache dll扩充
-
PHP5.2.X防止Hash冲突拒绝服务攻击的Patch方法_PHP教程
-
PHP终止5.2的更新,建议升级到5.3
-
php升级 - 正在运行中的服务器,如何平滑从php5.2升级到php5.3 ,linux+php-fpm+nginx
-
安装php5.3之后发现php文件夹下没有php5apache2.dll,于是安装php5.2,发现也没有,该如何解决
-
PHP Version之PHP5.2.x到5.3.x,php5.2.x5.3.x_PHP教程