请问军哥:LNMP0.8中PHP 5.2.17漏洞可能导致DDoS攻击,如何修补漏洞?急!!!
前日有信息显示当前包括PHP、Java、Ruby在内的很多语言版本存在漏洞,PHP官方开发组成员Laruence表示攻击者可以通过构造Hash冲突实现拒绝服务攻击,并提供了实例。这个攻击方法危害很高,攻击成本也很小,一个台式机可以轻松搞垮数十台、上百台服务器。此漏洞一出,相当于随便一个攻击者就可以DDoS掉世界上的大部分网站!危害等级绝对是核弹级别。因此,PHP官方开发组紧急发布了补丁,请大家尽速修补。
PHP方面,<= 5.3.8, <= 5.4.0RC3的所有版本均会受此漏洞影响。PHP 5.3.9和PHP 5.4.0已经包含了针对此漏洞的补丁,但由于两个版本目前仍然在RC状态,无法用于生产服务器升级。至于PHP 5.2,官方开发组表示不会为了这个漏洞发布新版。
查询清单
目前已知的受影响的语言以及版本有:
[*]PHP <= 5.3.8, <= 5.4.0RC3[*]Apache Geronimo, 所有版本[*]Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22不受此影响的语言或者修复版本的语言有::
[*]PHP >= 5.3.9, >= 5.4.0RC4[*]Apache Tomcat >= 5.5.35, >= 6.0.35, >= 7.0.2原文链接:http://os.51cto.com/art/201112/310756.htm 请问军哥,LNMP0.8的PHP版本是5.2.17,如何升级到最新版本修补漏洞?能不能用upgrade_lnmpa_php.sh脚本直接升级?急!!!
[ 本帖最后由 cisco0389 于 2011-12-31 16:03 编辑 ] 我用的lnmp0.4的
PHP 5.2.13 with Suhosin-Patch 0.9.7 (cli) (built: Jul3 2010 08:29:19)
Copyright (c) 1997-2009 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2010 Zend Technologies
with Zend Optimizer v3.3.9, Copyright (c) 1998-2009, by Zend Technologies
with eAccelerator v0.9.5.3, Copyright (c) 2004-2006 eAccelerator, by eAccelerator
不知道怎么解决,网上说的是源代码包解决,现在是不知道lnmp0.4里面的php是不是源代码包! LNMP升级PHP版本,执行如下命令:./upgrade_php.sh
LNMPA升级PHP版本,执行如下命令:./upgrade_lnmpa_php.sh
http://lnmp.org/install.html
PHP版本无法更新到5.4.0RC4
请问军哥,PHP官网上目前稳定版只有5.3.8,还是会受影响,5.4.0RC4好像没提供下载,网站也建议不要在生产环境部署,能直接升级吗?另外,直接通过升级脚本把PHP升级了,其他组件需不需要升级,和现有环境能不能兼容?PHP官网链接:http://www.php.net/downloads.php 5.4的不清楚 刚搜到的,希望军哥把补丁集成到lnmp里面由我前面的俩篇文章介绍(通过构造Hash冲突实现各种语言的拒绝服务攻击, PHP数组的Hash冲突实例 ), 这个攻击方法危害很高, 攻击成本也很小. 一个台式机可以轻松搞垮数十台, 上百台服务器.
而和Pierre沟通后, 官方开发组不会为此发布PHP 5.2.18, 但是目前还是由不少公司还在使用5.2, 所以我特将dmitry为5.4写的patch, 分别apply到5.2上.
大家如果有用5.2的, 如果被此类攻击威胁, 可以打上下面的patch, PHP5.3的, 可以考虑升级到5.3.9, 已经包含了此patch(因为5.3.9目前是RC状态, 所以如果不愿意升级, 也可以参照这个patch自己为5.3写一个):
补丁地址
https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars 是啊,请军哥重视一下这个问题,这是一个很严重的安全问题,如果部署的是生产环境,漏洞被别人利用了,危害太大了~军哥能不能写一个补丁升级脚本啊,这样解决了广大网友的问题,方便了很多啊~ 好像有点严重 不知道是不是因为这个,我的一台84vps向外发了12TB 的带宽,导致84都把的给停了:Q
页:
[1]