PHP远程代码执行漏洞:mysqlnd拓展中存在堆缓冲区溢出漏洞修复方式建议
php  /  管理员 发布于 1年前   803
目前,腾讯安全团队监测到该漏洞的POC(概念验证代码)已被公开,该漏洞的风险正在提升。
腾讯安全专家建议受影响的客户尽快升级到安全版本。
漏洞描述:
6月初,PHP 官方发布了多个远程代码执行漏洞安全公告,披露了PHP 远程代码执行漏洞(CVE-2022-31626),
由于PHP未检查复制的数据长度和缓冲区长度,导致堆溢出,可能导致远程代码执行。
PHP的mysqlnd拓展中存在堆缓冲区溢出漏洞,利用该漏洞需要攻击者有连接php连接数据库的权限,
通过建立恶意MySQL服务器,使受害主机通过mysqlnd主动连接该服务器,触发缓冲区溢出,
从而在受害主机上导致拒绝服务或远程执行代码。
基于php的数据库管理软件可能受该漏洞影响,如Adminer、 PHPmyAdmin 等工具。
漏洞编号:
CVE-2022-31626
漏洞等级:
高危,严重级,CVSS评分7.5
受影响的版本:
PHP 8.1.x < 8.1.7
PHP 8.0.x < 8.0.20
PHP 7.x < 7.4.30
安全版本:
PHP 8.1.x >= 8.1.7
PHP 8.0.x >= 8.0.20
PHP 7.x >= 7.4.30
漏洞修复与缓解方案:
PHP官方已发布补丁修复漏洞,腾讯安全专家建议受影响的用户尽快升级至安全版本:
PHP 8.1.7、PHP 8.0.20、PHP 7.4.30
更早已停止支持的版本,建议用户尽快升级。
参考链接:
https://bugs.php.net/bug.php?id=81719
原梓番博客 在
在Laravel框架中使用模型Model分表最简单的方法中评论 好久好久都没看友情链接申请了,今天刚看,已经添加。..博主 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了,可以看看近期评论的其他文章..1111 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 网站不能打开,博主百忙中能否发个APP下载链接,佛跳墙或极光..路人 在
php中使用hyperf框架调用讯飞星火大模型实现国内版chatgpt功能示例中评论 教程很详细,如果加个前端chatgpt对话页面就完美了..博主 在
科学上网翻墙之v2rayN-Core客户端免费公益节点使用教程中评论 @ mashrdn 多切换几个节点测试,免费ssr是没那么稳..Copyright·© 2019 侯体宗版权所有· 粤ICP备20027696号