PHP中报告了多个漏洞

我正在管理我公司的所有PHP项目。我从安全部门得到报告说

PHP\u PHP\u stream\u scandir函数-任意代码执行 漏洞CVE-2012-2688 该漏洞是由_php_stream_scandir中的错误引起的 函数，它位于“main/streams/streams.c”中。攻击者可以 触发要执行的_php_stream_scandir函数中的溢出 任意代码

PHP SQLite-绕过限制漏洞CVE-2012-3365 此漏洞是由SQLite中绕过open_basedir的错误造成的 保护机制，远程攻击者可以利用该机制 使易受攻击的服务器崩溃，造成拒绝服务情况。 注意：此漏洞不影响PHP版本5.4.x

---

因此，他们告诉我们将所有系统升级到5.4.5。以上几点是否会对项目产生太大的影响，还是可以继续下去。因为我没有理解他们所说的漏洞。

如果不使用scandir，第一个漏洞可能就没什么好担心的了。也没有将PHP<5.3.10列为易受攻击的，所以可能那些Verson没有。@arxanas:它确实列出了PHP<5.3.10，只是以一些随机排序的方式。根据PHP自己的变更日志，5.3.15+不易受攻击-升级到5.3.15+可能比升级到5.4更容易。如果您使用的是库，不亲自使用scandir并不意味着什么。您需要审核项目的整个代码库，以确保它不会在任何地方使用。@MarcB不过，scandir似乎还必须包含用户输入，这大概不太可能逃避注意。无论如何，我不知道这个漏洞到底是什么，所以很难说如何避免它。你现在使用的是哪个版本？