在PHP编程语言中发现多个代码执行缺陷

PHP编程语言的维护人员最近发布了最新版本的PHP，以修补其核心库和捆绑库中的多个高严重性漏洞，其中最严重的漏洞可能允许远程攻击者执行任意代码并危害目标服务器。

超文本预处理器，通常被称为PHP，是当今最流行的服务器端web编程语言，在互联网上的应用超过78%。

几个维护分支下的最新版本包括PHP7.3.9、7.2.22和7.1.32，解决了多个安全漏洞。

根据受影响的代码库在PHP应用程序中的类型、出现次数和使用情况，成功利用某些最严重的漏洞可使攻击者以相关权限在受影响的应用程序上下文中执行任意代码。

另一方面，攻击失败可能会导致受影响系统上出现拒绝服务（DoS）情况。

这些漏洞可能导致数十万个依赖PHP的web应用程序面临代码执行攻击，其中包括一些受欢迎的内容管理系统（如wordpress、drupal和typo3）支持的网站。

其中，一个“释放后使用”的代码执行漏洞（分配为CVE-2019-13224）位于Oniguruma中，Oniguruma是一个流行的正则表达式库，与PHP以及许多其他编程语言捆绑在一起。

远程攻击者可以通过在受影响的Web应用程序中插入巧尽心思构建的正则表达式来利用此漏洞，这可能导致代码执行或导致信息泄漏。

“攻击者提供了一对正则表达式和一个字符串，其多字节编码由onig_new_deluxe（）处理，”Red Hat在描述该漏洞的安全公告中说道。

其他修补的缺陷会影响Curl扩展、Exif函数、FastCGI进程管理器（FPM）、opcache特性等。

好消息是，到目前为止，还没有关于攻击者在野外利用这些安全漏洞的报告。

PHP安全团队已经解决了最新版本中的漏洞。因此，强烈建议用户和主机提供商将服务器升级到最新的php 7.3.9、7.2.22或7.1.32版本。