您好,欢迎访问一九零五行业门户网

PHP 5.2/5.3 Hash漏洞补丁发布

前日有信息显示当前包括php、java、ruby在内的很多语言版本存在漏洞,php官方开发组成员laruence(新浪微博)表示攻击者可以通过构造hash冲突实现拒绝服务攻击,并提供了实例。这个攻击方法危害很高,攻击成本也很小,一个台式机可以轻松搞垮数十台、上百台服务器。
此漏洞一出,相当于随便一个攻击者就可以ddos掉世界上的大部分网站!危害等级绝对是核弹级别。因此,php官方开发组紧急发布了补丁,请大家尽速修补。
php方面,
官方目前提供的解决方案是给自己的php环境打一个patch,5.2和5.3都可以使用。patch地址如下:
https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars
使用方法:
1. cd 到 php src,运行: patch -p1
2. 最新的 php 5.3.9-rc4 已经修复了本漏洞,5.3 的用户可以直接升级到 5.3.9-rc4 。
当然,如果您不想更新到一个rc版本,那么也可以很简单的修改上面这个补丁,应用到 5.3 的相应版本上。
laruence还建议其他语言java, ruby等,请各位也预先想好对策,限制post_size是治标不治本的方法,不过可以用来做临时解决方案。
临时解决方案参考:http://www.54chen.com/php-tech/hashdos.html
此外,微软也已经紧急发布了更新,修复了asp.net上的该漏洞:
http://netsecurity.51cto.com/art/201112/310628.htm
查询清单
目前已知的受影响的语言以及版本有::
java, 所有版本
jruby
php
python, 所有版本
rubinius, 所有版本
ruby
apache geronimo, 所有版本
apache tomcat
oracle glassfish
jetty, 所有版本
plone, 所有版本
rack, 所有版本
v8 javascript engine, 所有版本
不受此影响的语言或者修复版本的语言有::
php >= 5.3.9, >= 5.4.0rc4
jruby >= 1.6.5.1
ruby >= 1.8.7-p357, 1.9.x
apache tomcat >= 5.5.35, >= 6.0.35, >= 7.0.23
oracle glassfish, n/a (oracle reports that the issue is fixed in the main codeline and scheduled for a future cpu)
cve: cve-2011-4885 (php), cve-2011-4461 (jetty), cve-2011-4838 (jruby), cve-2011-4462 (plone), cve-2011-4815 (ruby)
其它类似信息

推荐信息