PHP中报告了多个漏洞
我正在管理我公司的所有PHP项目。我从安全部门得到报告说 PHP\u PHP\u stream\u scandir函数-任意代码执行 漏洞CVE-2012-2688 该漏洞是由_php_stream_scandir中的错误引起的 函数,它位于“main/streams/streams.c”中。攻击者可以 触发要执行的_php_stream_scandir函数中的溢出 任意代码 PHP SQLite-绕过限制漏洞CVE-2012-3365 此漏洞是由SQLite中绕过open_basedir的错误造成的 保护机制,远程攻击者可以利用该机制 使易受攻击的服务器崩溃,造成拒绝服务情况。 注意:此漏洞不影响PHP版本5.4.xPHP中报告了多个漏洞,php,Php,我正在管理我公司的所有PHP项目。我从安全部门得到报告说 PHP\u PHP\u stream\u scandir函数-任意代码执行 漏洞CVE-2012-2688 该漏洞是由_php_stream_scandir中的错误引起的 函数,它位于“main/streams/streams.c”中。攻击者可以 触发要执行的_php_stream_scandir函数中的溢出 任意代码 PHP SQLite-绕过限制漏洞CVE-2012-3365 此漏洞是由SQLite中绕过open_basedir的错误
因此,他们告诉我们将所有系统升级到5.4.5。以上几点是否会对项目产生太大的影响,还是可以继续下去。因为我没有理解他们所说的漏洞。如果不使用scandir,第一个漏洞可能就没什么好担心的了。也没有将PHP<5.3.10列为易受攻击的,所以可能那些Verson没有。@arxanas:它确实列出了PHP<5.3.10,只是以一些随机排序的方式。根据PHP自己的变更日志,5.3.15+不易受攻击-升级到5.3.15+可能比升级到5.4更容易。如果您使用的是库,不亲自使用scandir并不意味着什么。您需要审核项目的整个代码库,以确保它不会在任何地方使用。@MarcB不过,scandir似乎还必须包含用户输入,这大概不太可能逃避注意。无论如何,我不知道这个漏洞到底是什么,所以很难说如何避免它。你现在使用的是哪个版本?