PHP编程语言中发现多个代码执行缺陷

PHP编程语言的维护人员最近发布了最新版本的PHP，以修补其核心库和捆绑库中的多个高严重性漏洞，其中最严重的漏洞可能允许远程攻击者执行任意代码并危害目标服务器。

几个维护分支的最新版本包括PHP版本7.3.9、7.2.22和7.1.32，解决了多个安全漏洞。
根据PHP应用程序中受影响代码库的类型、出现情况和使用情况，成功利用某些最严重的漏洞可能会使攻击者在受影响应用程序的上下文中以相关权限执行任意代码。

另一方面，攻击尝试失败可能会导致受影响系统出现拒绝服务（DoS）情况。

这些漏洞可能会使依赖PHP的数十万web应用程序面临代码执行攻击，包括由WordPress、Drupal和Typo3等流行内容管理系统支持的网站。


其中，Oniguruma中存在一个名为CVE-2019-13224的“释放后使用”代码执行漏洞。Oniguruma是一个流行的正则表达式库，与PHP以及许多其他编程语言捆绑在一起。

远程攻击者可以通过在受影响的web应用程序中插入巧尽心思构建的正则表达式来利用此漏洞，从而可能导致代码执行或信息泄露。
“攻击者提供了一对正则表达式模式和一个字符串，以及由onig_new_deluxe（）处理的多字节编码，”Red Hat在描述该漏洞的安全建议中说。

其他修补缺陷会影响curl扩展、Exif函数、FastCGI进程管理器（FPM）、Opcache功能等。

好消息是，到目前为止，还没有关于攻击者在野外利用这些安全漏洞的报告。

PHP安全团队已经解决了最新版本中的漏洞。因此，强烈建议用户和主机提供商将其服务器升级到最新的PHP版本7.3.9、7.2.22或7.1.32。