PHP “Unserialize()”安全漏洞

字数统计: 312字   |   阅读时长: 1分   |  本文总阅读量0

来源:Linux社区 作者:Linux 受影响系统: PHP PHP < 5.4.36 描述: CVE(CAN) ID: CVE-2014-8142 PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。 PHP 5.4.36之前版本,”process_nested_data()”函数在实现上存在释放后重利用漏洞,攻击者通过向”unserialize()” 函数传递构造的输入,利用此漏洞可破坏内存;”var_push_dtor()”函数在实现上存在空指针间接引用漏洞,攻击者通过 向”unserialize()”函数传递构造的输入,利用此漏洞可造成崩溃。成功利用这些漏洞可造成任意代码执行。 <来源:Stefan Esser 链接:http://secunia.com/advisories/61236/ > 建议: 厂商补丁: PHP —- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: PHP: http://php.net/ChangeLog-5.php#5.4.36 https://bugs.php.net/bug.php?id=68594 Charlie Eriksen: https://bugs.php.net/bug.php?id=68545 CentOS 6.3 安装LNMP (PHP 5.4,MyySQL5.6) http://www.linuxidc.com/Linux/2013-04/82069.htm 在部署LNMP的时候遇到Nginx启动失败的2个问题 http://www.linuxidc.com/Linux/2013-03/81120.htm Ubuntu安装Nginx php5-fpm MySQL(LNMP环境搭建) http://www.linuxidc.com/Linux/2012-10/72458.htm

本文作者: 艾瑞可erik
本文链接: https://erik.xyz/2014/12/25/php-unserialize-an-quan-lou-dong/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!

一只PHP开发的程序猿,偶尔搞搞摄影、画画、写作、顺便睡觉。

支付宝
微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<ul> <li>介绍:已有十多年开发经验,主要语言PHP、Web、Go、Java、Python等,有涉及R、Rust、Ruby。 最大的收获就是学好一门语言,其他的更好学。</li> <li>站长:艾瑞可erik</li> <li>邮箱:erik@erik.xyz</li></ul>