PHP是使用比较广泛的通用目的脚本语言,特别是现在的网站程序的开发,并且可以嵌入到HTML代码当中。近日,百度安全指数官网发布了一篇关于PHP拒绝服务的漏洞报告(CVE-2017-8923),今天小凯seo博客转载过来和朋友们分享一下,具体内容如下:
PHP(外文名:PHP: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,利于学习,使用广泛,主要适用于Web开发领域。PHP 独特的语法混合了C、Java、Perl以及PHP自创的语法。它可以比CGI或者Perl更快速地执行动态网页。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用)文档中去执行,执行效率比完全生成HTML标记的CGI要高许多;PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。(百度百科)
漏洞描述
PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。
PHP 7版本中的Zend/zend_string.h文件的‘zend_string_extend’函数存在安全漏洞,该漏洞源于程序未能阻止字符串对象的更改,导致输出负长度值。远程攻击者可利用该漏洞造成拒绝服务。
影响版本:PHP7.*至7.1.5。
漏洞等级:中危
受影响网站:
安全指数分析中国互联网共有31488个网站受到影响。
修复建议
1、升级PHP至7.1.5以上版本;
2、使用百度云加速WAF防火墙进行防御;
3、添加网站至安全指数,及时了解网站组件突发/0day漏洞。
了解更多
https://bugs.php.net/bug.php?id=74577