php拒绝服务,PHP远程拒绝服务攻击漏洞修复指引(7.15更新)

最新推荐文章于 2021-04-08 12:56:01 发布
最新推荐文章于 2021-04-08 12:56:01 发布
阅读量750 收藏 1
点赞数
文章标签: php拒绝服务

Jul

27

PHP远程拒绝服务攻击漏洞修复指引(7.15更新)

文 / UCloud 公关部

2021-03-04

2015年5月15日,php官方发布安全漏洞通知,利用该漏洞攻击者可以通过发送一个精心构造的http请求,使服务器的cpu利用率达到100%。导致服务器无法正常工作。

目前UCoud经过4天的打补丁、测试、灰度发布等工作已经率先修复该问题。UCloud网站不受该漏洞影响。

8f9f692ccd3f63af21815851db53c2e0.png

漏洞描述:

php在解析格式为Multipart/form-data的请求时,由于设计不当导致在处理一种特殊格式的时候出现cpu使用率100%的情况。

漏洞影响:

消耗cpu资源使cpu利用率达到100%,导致服务器无法正常工作。

影响范围:

所有php版本

修复方案:

官方已经针对5.4 .5.5版本发布了升级补丁:

https://bugs.php.net/patch-display.php?bug_id=69364&patch=patch-5.4&revision=1431237650&download=1

目前官方已经将更新同步到软件源中。ucloud也于第一时间同步此次安全更新。

ubuntu修复方案:

apt-get update

apt-get upgrade php5

centos修复方案:

yum clean all

yum update php

使用php -V查看自己php版本一下是没有问题的版本

Ubuntu 15.04:

php5-cli 5.6.4+dfsg-4ubuntu6.2

php5-cgi 5.6.4+dfsg-4ubuntu6.2

libapache2-mod-php5 5.6.4+dfsg-4ubuntu6.2

php5-fpm 5.6.4+dfsg-4ubuntu6.2

Ubuntu 14.10:

php5-cli 5.5.12+dfsg-2ubuntu4.6

php5-cgi 5.5.12+dfsg-2ubuntu4.6

libapache2-mod-php5 5.5.12+dfsg-2ubuntu4.6

php5-fpm 5.5.12+dfsg-2ubuntu4.6

Ubuntu 14.04 LTS:

php5-cli 5.5.9+dfsg-1ubuntu4.11

php5-cgi 5.5.9+dfsg-1ubuntu4.11

libapache2-mod-php5 5.5.9+dfsg-1ubuntu4.11

php5-fpm 5.5.9+dfsg-1ubuntu4.11

Ubuntu 12.04 LTS:

php5-cli 5.3.10-1ubuntu3.19

php5-cgi 5.3.10-1ubuntu3.19

libapache2-mod-php5 5.3.10-1ubuntu3.19

Centos:

php-5.4.16-36

php-5.3.3-46

weixin_39653717
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 漏洞 怎么解决,php安全漏洞怎么修复
weixin_39869693的博客
03-09 3684
该楼层疑似违规已被系统折叠隐藏此楼查看此楼PHP PHAR扩展安全漏洞(CVE-2016-4072)PHPphp_filter_encode_url’函数整数溢出漏洞(CVE-2016-4345)PHP ‘str_pad’函数整数溢出漏洞(CVE-2016-4346)PHP‘wddx_stack_destroy’函数释放后重用漏洞(CVE-2016-7413)PHP Calendar...
5.4.16打断点 php_PHP 5.4.16和PHP 5.3.26发布!
weixin_39861498的博客
12-21 251
PHP 5.4.16和PHP 5.3.26发布!发布时间:2013-06-08 09:18:28来源:红联作者:empastPHP 5.4.16/5.3.26发布。2013-06-07 经过1个RC 上个版本是2013-05-09的5.4.15/5.3.25修正了大约15个Bug以及几个安全漏洞。如CVE-2013-2110 开发版本5.5RC3.完全改进:Version 5.4.1606-Jun...
thinkphp5远程代码执行漏洞分析(一)
weixin_30482383的博客
08-28 603
payload 测试版本thinkphp5.1beta url =>http://127.0.0.1/thinkphp5.1beta/public/index.php?s=index/\think\Container/invokefunction&function=call_user_func&vars[0]=phpinfo&vars[1]=1 漏洞...
php拒绝服务漏洞,PHP ‘tidy_diagnose’函数拒绝服务漏洞
weixin_39678493的博客
04-08 265
-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1[ PHP 5.3.8 Multiple vulnerabilities ]Author: Maksymilian ArciemowiczWebsite: http://cxsecurity.com/Date: 14.01.2012CVE:CVE-2011-4153 (zend_strndup)Original...
php7 漏洞,PHP中危拒绝服务漏洞CVE-2017-8923)
weixin_29383429的博客
03-11 1045
PHP是使用比较广泛的通用目的脚本语言,特别是现在的网站程序的开发,并且可以嵌入到HTML代码当中。近日,百度安全指数官网发布了一篇关于PHP拒绝服务漏洞报告(CVE-2017-8923),今天小凯seo博客转载过来和朋友们分享一下,具体内容如下:PHP(外文名:PHP: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java...
CVE-2018-5711:PHP GD库拒绝服务漏洞
weixin_34087301的博客
02-08 552
阿里云发布的PHP高危漏洞 这肯定要修补啊,官方解决方案就是升级到最新版 升级过程就不说了编译----安装期间各种BUG,很恶心 事后,觉得这漏洞还挺好,就给大家转载下有时间的可以自己测试下不要捣蛋哦,小朋友们 PoC 下载捣蛋文件$ curl -L https://git.io/vN0n4 | xxd -r > poc.gif 本机函数测试$ php -r 'imagecreatefro...
PHP拒绝服务***
weixin_34406086的博客
01-04 128
PHP拒绝服务***所有主流语言中都存在的重大的复杂***漏洞PHP在处理表单时有漏洞,但现在每个Web程序都在使用JSON API,仍然很容易受到复杂的***。它是怎么起作用的在通常的情况下,哈希表被优化的速度非常快。但如果有人将互相冲突的键值插入,性能就会突然变得很糟糕。如果哈希表使用开放的地址来实现,一个冲突的键值会针对链接列表中的所有元素做出检查。如果你插入了n个元...
任务大厅 v7.15.rar
07-09
任务大厅 v7.15.rar
最新版 elasticsearch-analysis-ik-7.15.0.zip
10-19
最新版 elasticsearch-analysis-ik-7.15.0.zip最新版 elasticsearch-analysis-ik-7.15.0.zip
最新版windows kibana-7.15.2-windows-x86_64.zip
11-15
最新版windows kibana-7.15.2-windows-x86_64.zip
Apache+PHP+MySQL配置资源(2)
05-20
Apache+PHP+MySQL安装配置所需的资源与教程 由于上传大小限制,共分3个文件 一共包括: mysql-5.0.67-linux-i686-...curl-7.15.0.tar.gz libxml2-2.6.19.tar.gz libxslt-1.1.15.tar.gz php-5.2.8.tar.gz 希望对大家有用
php+mysql+apache 配置资源(1)
05-20
php+mysql+apache 所需的资源及教程 包括: mysql-5.0.67-linux-i686-icc-glibc23.tar.gz ...curl-7.15.0.tar.gz libxml2-2.6.19.tar.gz libxslt-1.1.15.tar.gz php-5.2.8.tar.gz 上传大小限制;一共分了三个
重大漏洞PHP multipart/form-data头部解析远程拒绝服务漏洞
weixin_30488085的博客
01-23 174
"有些人看不懂,简单比喻来说吧:目前刚出的任何安全防护都不会拦,网站类专属漏洞 畸形数据包,2KB随机数据包,2M网速打死各种网站,cdn通挂!"PHP multipart/form-data头部解析远程拒绝服务漏洞发布日期:2015-05-18受影响的软件及系统:====================PHP 5.0.0 - 5.0.5PHP 5.1.0 - 5.1.6PHP 5...
PHP Libgd存在拒绝服务漏洞一张GIF可能导致服务器宕机
SecGuard
02-12 1995
PHP GD Graphics Library存在拒绝服务漏洞-CVE-2018-5711(CNVD收录编号为CNVD-2018-02505),可导致服务器计算资源大量消耗,直至崩溃宕机。GD Graphics Library(libgd)是用来动态创建图像的开源图形软件库,主要用在图像验证码、头像、网络相册等方面,用户使用十分广泛。GD图形库中的gd_gif_in.c存在整数签名错误,通过特殊构...
php拒绝服务,源码级剖析PHP 7.2.x GD拒绝服务漏洞
weixin_39981185的博客
03-13 171
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文原创作者:chilau,本文属FreeBuf原创奖励计划,未经许可禁止转载触发条件:php 7.2.x,开启gd库。只需要三行代码即可完成!我在本地调试php的时候发现某个老代码能够直接把php给crash掉,因此成文。php没有报错,直接死掉了,应该是内部逻辑有问题。再传到服...
php进程安全与不安全,安全|PHPStress:PHP拒绝服务攻击(含PoC)
weixin_31246141的博客
03-12 258
原标题:安全|PHPStress:PHP拒绝服务攻击(含PoC)前言导致这种拒绝服务攻击的根本原因,在于大多数现代Web服务器的配置漏洞。简而言之,简单而稳定的PHP调用将使Web服务器疲于打开PHP进程,而无力顾及其他。对于个人而言,通过耗尽Web服务器所有可用资源来实现拒绝服务攻击,是一种非常简单有效的方法。使用标准电缆/DSL连接,这种攻击就可以通过标准的HTTP请求来耗尽Linux Web...
php拒绝式服务漏洞防御,高危!ThinkPHP5.0.x远程代码执行漏洞防御
weixin_31256683的博客
03-24 162
1月11日,ThinkPHP官方团队发布ThinkPHP5.0.24版本。本次更新修复了一个远程代码执行漏洞,建议更新漏洞描述ThinkPHP在核心类Requests的method方法中实现了表单请求类型伪装,可以通过表单请求伪装变量实现对该类任意函数的调用,但是没有对该变量的属性进行严格校验,所以可以构造请求来实现对Request类属性值的覆盖,实现对任意函数的调用达到代码执行的效果。受影响范...
php quotedprintable,PHP quoted_printable_encode()堆缓冲区溢出漏洞CVE-2013-2110)
weixin_35853499的博客
03-11 138
发布日期:2013-06-07更新日期:2013-06-08受影响系统:PHP PHP 5.3.13PHP PHP 5.3.12PHP PHP 5.3.11PHP PHP 5.3.10描述:--------------------------------------------------------------------------------BUGTRAQ ID: 60411CVE(CAN...
人工智能导论大学生期末复习测试题
最新发布
06-07
人工智能导论大学生期末复习测试题
camunda7.15汉化
09-02
Camunda是一个开源的工作流引擎,可以用于管理和执行各种类型的业务流程。作为全球范围内广泛使用的工作流引擎,Camunda非常重视其国际化和本地化的能力。为了满足中国用户的需求,Camunda团队已经开始进行Camunda 7.15的汉化工作。 Camunda 7.15汉化的目标是提供一个完全汉化的用户界面,使中国用户能够更轻松地使用和管理Camunda工作流引擎。这意味着所有的菜单、标签、按钮等用户界面元素都将以中文显示。此外,Camunda还将提供中文的文档、教程和示例,以帮助中国用户更好地理解和使用Camunda。 为了实现这个目标,Camunda团队正在进行大量的翻译工作。他们正在对Camunda的用户界面进行全面的翻译,包括对各个菜单和标签进行翻译,确保所有的界面元素可以用中文正确显示。此外,他们还在翻译文档、教程和示例,以便中国用户能够更好地理解Camunda的功能和用法。 值得一提的是,Camunda 7.15汉化工作并不仅仅是简单的翻译工作。团队还在努力确保汉化后的用户界面和功能都能够符合中国用户的需求和习惯。他们将在翻译过程中参考中国用户的反馈和建议,以确保汉化后的Camunda工作流引擎能够更好地适应中国用户的使用习惯。 总之,Camunda团队正在积极致力于Camunda 7.15的汉化工作,旨在为中国用户提供一个更友好和便捷的工作流引擎。希望通过这一汉化工作,能够促进Camunda在中国的应用和推广,为中国用户提供更好的工作流管理和执行体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值