2018年01月22日,某安全研究人员发现PHP环境存在拒绝服务漏洞。通过精心构造的GIF图片PoC可以触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务。目前PoC已公开。由于使用PHP语言开发的网站使用GD库实现图片上传功能,建议用户关注该漏洞。
漏洞详情见下文。
漏洞编号
CVE-2018-5711
漏洞名称
PHP GD库拒绝服务漏洞
官方评级
高危
漏洞描述
利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,服务中断,对业务带来一定安全风险。
漏洞利用条件和方式
通过PoC直接远程利用。
PoC状态
已公开
漏洞影响范围
- PHP 5 < 5.6.33
- PHP 7.0 < 7.0.27
- PHP 7.1 < 7.1.13
- PHP 7.2 < 7.2.1
漏洞检测
开发人员检查是否使用了受影响版本范围内的PHP版本。
漏洞修复建议(或缓解措施)
目前,PHP官方发布的最新版已经修复该漏洞,开发或运维人员可以手动下载更新。
注意:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。
情报来源
[1]. http://blog.orange.tw/2018/01/php-cve-2018-5711-hanging-websites-by.html
[2]. http://php.net/