宇宙最强语言 PHP 爆出 DoS 漏洞,可以直接灌满 CPU

2015-05-20 01:21:27 +08:00

johnsneakers

测了一下,真的可以。
消息详情:
http://www.nsfocus.com.cn/report/php_multipart-form-data_remote_dos_vulnerability_analysis_protection.pdf

16360 次点击

所在节点

PHP

92 条回复

liuchen9586

2015-05-20 09:41:23 +08:00

WHAT THE FUCK
有没有对策？

crazycen

2015-05-20 09:44:46 +08:00

很早之前博客换php5.6.5。目前不受影响！

laoyuan

2015-05-20 10:02:41 +08:00

CentOS 好弄，remi 库已经是5.4.41了，Ubuntu 还得编译

moro

2015-05-20 10:04:57 +08:00

官方已经更新了。

yangxin0

2015-05-20 10:06:53 +08:00

前几天patch都打上去了

xavierskip

2015-05-20 10:10:19 +08:00

怪不得1024这几天挂了

w99wen

2015-05-20 10:19:40 +08:00

@xavierskip 真爱

seki

2015-05-20 10:31:06 +08:00

wtf
看了一下 ubuntu LTS 的包补丁还没来……真的要让我下源码自己编译么……

b821025551b

2015-05-20 10:31:31 +08:00

我去升级了

abscon

2015-05-20 10:34:00 +08:00

@missdeer 为什么要停掉。中了这个漏洞最坏的结果也就是CPU跑满网站没有响应，你一停掉，相当于最坏的结果已经发生了——除非你这台服务器上还有其他更重要的非PHP的系统，需要确保它的运行

surfire91

2015-05-20 10:41:24 +08:00

@rwalle
这个工具不好使啊，提示“您的检测目标无法检测”

rwalle

2015-05-20 10:41:59 +08:00

@fork3rt 都受到影响，不过5.3及以前的版本php官方说已经不在支持生命周期内，不管了，自己看着办

lincanbin

2015-05-20 10:45:10 +08:00

为什么我用的PHP 5.6.5，却提示没有此漏洞？

lyragosa

2015-05-20 10:45:45 +08:00

测了一下是有漏洞

问题是怎么才能拖满100%呢？

nellace

2015-05-20 10:46:46 +08:00

简直炫酷。。。。

johnsneakers

2015-05-20 10:50:19 +08:00

@lyragosa
http://drops.wooyun.org/papers/6077

看这个，最后一个测试代码，脱下来改改

582033

2015-05-20 10:51:45 +08:00

@lyragosa 多创建几个进程发送请求,就100%了

拿自己blog试了下，一个进程就死翘翘了

lyragosa

2015-05-20 11:01:55 +08:00

@582033
@johnsneakers
感谢

不过我自己的个人网站却测试没有漏洞

上服务器看了下，php版本莫名其妙变成最新版了。估计是某些自动升级脚本处理的……

invite

2015-05-20 11:03:47 +08:00

宇宙最强的PHP，必须配置宇宙最强的CPU啊，这样的CPU，岂是DoS能搞定的？

v1024

2015-05-20 11:10:42 +08:00

这个已经修复了，目前看的是运维反应速度。

第 2 页／共 5 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/192338

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.