據(jù)北京網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào),近日,ThinkPHP官方(ThinkPHP是一個(gè)快速、兼容而且簡單的輕量級國產(chǎn)PHP開發(fā)框架)發(fā)布安全更新,用于修復(fù)一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。
尊敬的用戶您好!
據(jù)北京網(wǎng)絡(luò)與信息安全信息通報(bào)中心通報(bào),近日,ThinkPHP官方(ThinkPHP是一個(gè)快速、兼容而且簡單的輕量級國產(chǎn)PHP開發(fā)框架)發(fā)布安全更新,用于修復(fù)一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。此次版本更新主要涉及一個(gè)安全更新,由于框架對控制器名沒有進(jìn)行足夠的檢測,會導(dǎo)致在沒有開啟強(qiáng)制路由的情況下引發(fā)黑客執(zhí)行遠(yuǎn)程惡意代碼,從而獲取權(quán)限。
一、 基本情況
遠(yuǎn)程代碼執(zhí)行漏洞是用戶通過瀏覽器提交執(zhí)行命令,由于服務(wù)器端沒有針對執(zhí)行函數(shù)做過濾,導(dǎo)致在沒有指定絕對路徑的情況下就執(zhí)行命令,可能會允許攻擊者通過改變 $PATH或程序執(zhí)行環(huán)境的其他方面來執(zhí)行一個(gè)惡意構(gòu)造的代碼。
經(jīng)過對官方補(bǔ)丁分析,發(fā)現(xiàn)該程序未對控制器進(jìn)行過濾,導(dǎo)致攻擊者可以通過引入\\符號來調(diào)用任意類方法,從而執(zhí)行任意命令。
二、影響范圍
ThinkPHP5.0
ThinkPHP5.1
三、 網(wǎng)絡(luò)安全提示
針對該情況,新網(wǎng)提示廣大客戶及時(shí)做好以下三方面的工作:
1)及時(shí)進(jìn)行更新升級。目前,ThinkPHP官方已經(jīng)發(fā)布新版本修復(fù)了上述漏洞,建議使用ThinkPHP框架的用戶及時(shí)升級進(jìn)行防護(hù),具體升級方法詳見ThinkPHP官網(wǎng)。
2)開展自查。對信息系統(tǒng)開展自查,及時(shí)進(jìn)行問題清零,對重要的數(shù)據(jù)、文件進(jìn)行定期備份。
3)加強(qiáng)漏洞監(jiān)測。
附:官方修復(fù)辦法:https://blog.thinkphp.cn/869075
免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請發(fā)送郵件至:operations@xinnet.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。
故障賠償
極速響應(yīng)
客戶服務(wù)
7*24小時(shí)售后支持
免費(fèi)備案
關(guān)于我們 | 新聞中心 | 資質(zhì)榮譽(yù) | 網(wǎng)站地圖 | 友情鏈接 | 加入我們 | 聯(lián)系我們 | 索引地圖
京公網(wǎng)安備11030102000056號
京ICP備09061941號-4
商品已成功加入購物車
