Board logo

标题: [BUG反馈] PHP新DOS漏洞 望WD早日出修补方法。 [打印本页]

作者: makony    时间: 2015-5-21 17:16     标题: PHP新DOS漏洞 望WD早日出修补方法。

近日,PHP被爆出存在远程DOS漏洞,若黑客利用该漏洞构造PoC发起连接,容易导致目标主机CPU被迅速消耗。此漏洞涉及众多PHP版本,因而影响范围极大。

漏洞产生的原因是PHP解析multipart/form-datahttp请求的body part请求头时,重复拷贝字符串导致DOS。而远程攻击者可以通过发送恶意构造的multipart/form-data请求,导致服务器CPU资源被耗尽,从而远程DOS服务器。

另据了解,在今年4月3日就有用户在PHP官网提交了PHP远程DoS漏洞(PHP Multipart/form-data remote dos Vulnerability),代号69364。由于该漏洞涉及PHP的众多版本,故其影响面较大,一经发布迅速引发多方面关注。此后,各种PoC已经在网络上流传。

此次漏洞具备如下特性:

1. 一旦被利用成功,可以在迅速消耗被攻击主机的 CPU 资源,从而达到 DoS 的目的;

2. PHP 在全球的部署量相当大,为攻击者提供了相当多可以攻击的目标;

3. PHP 官方目前仅给出了 5.4 及 5.5 版本的补丁

受此漏洞影响的软件及系统包括 PHP 的如下版本。

• PHP 5.0.0 - 5.0.5

• PHP 5.1.0 - 5.1.6

• PHP 5.2.0 - 5.2.17

• PHP 5.3.0 - 5.3.29

• PHP 5.4.0 - 5.4.40

• PHP 5.5.0 - 5.5.24

• PHP 5.6.0 - 5.6.8




http://www.chinaz.com/news/2015/0520/407861.shtml



前几天看到了,没在意。今天站长网又爆出来了。

有POC,估计以后会有很多工具,希望WD早日出修复办法。感谢~
作者: zhoumo310    时间: 2015-5-21 17:19

支持一个,强烈关注中
作者: qq1134111310    时间: 2015-5-21 22:40

网站被攻击了 请求官方帮助
作者: xuandun    时间: 2015-5-21 22:46

已有民间修复办法:https://coding.net/u/simapple/p/oldphppatch/git/tree/master/CVE-ID2015-4024
被攻击的可以暂时用这个
作者: qq1134111310    时间: 2015-5-21 22:57

回复 4# xuandun

小白啊  求助具体使用方法 谢谢了
作者: admin    时间: 2015-5-22 09:49

这个升级下php版本就可以
作者: makony    时间: 2015-5-22 14:55

回复 6# admin


   请问管理,怎么升级WDCP 的php版本?
作者: qiang5062250    时间: 2015-5-22 16:16

回复 6# admin


   求看下这个问题http://www.wdlinux.cn/bbs/thread-38355-1-1.html




欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/) Powered by Discuz! 7.2