关于PHP7漏洞情况的通报


近日,国家信息安全漏洞库(CNNVD)收到多个关于“PHP7”漏洞情况的报送。其中编号为CNNVD-201612-760和CNNVD-201612-761的两个漏洞影响PHP7版本,利用难度较大;编号为CNNVD-201612-759的漏洞同时影响PHP7版本和PHP5版本,利用难度较小。目前多个主流内容管理平台基于PHP5开发,因此漏洞影响范围较广,国家信息安全漏洞库(CNNVD)对上述漏洞进行了跟踪分析,情况如下:
       一、漏洞简介
       PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。
       PHP 5.6.26版本和7.0至7.0.13版本中存在远程拒绝服务漏洞(CNNVD-201612-759,CVE-2016-7478)。攻击者可利用该漏洞造成拒绝服务。
        PHP 7.0至7.0.13版本中存在拒绝服务漏洞(CNNVD-201612-760,CVE-2016-7479)。攻击者可利用该漏洞造成拒绝服务(无限循环)。
        PHP 7.0.12之前的版本中存在远程代码执行漏洞(CNNVD-201612-761,CVE-2016-7480)。远程攻击者可利用SplObjectStorage对象的反序列化函数使用未初始化变量,导致修改内存数据,执行任意代码。
        二、漏洞危害
        攻击者可以利用上述漏洞远程控制服务器,或者导致网站瘫痪。此外,目前多个主流内容管理平台基于PHP5开发,攻击者可利用上述漏洞机制对PHP5的主流平台进行攻击,如Magento、vBulletin、Drupal和Joomla!。
        三、修复措施
        PHP官方已提供最新版本的PHP7,新版本中不存在上述漏洞,PHP7最新版本下载链接如下:
        http://php.net/downloads.php#php-7.1
        针对上述编号为CNNVD-201612-759和CNNVD-201612-761的漏洞,Github已提供了修复措施,不方便升级至最新版PHP7的用户可参考如下链接:
        https://github.com/php/php-src/commit/bcd64a9bdd8afcf7f91a12e700d12d12eedc136b

本通报由CNNVD技术支撑单位——北京神州绿盟信息安全科技股份有限公司、安天实验室提供支持。
        CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
        联系方式: cnnvd@itsec.gov.cn