全球主要网站使用语言之一PHP于6日晚间发布最新漏洞修补安全更新,协助用户缓解重大RCE漏洞CVE--所带来的威胁。
DEVCORE作为首先披露此零时差漏洞的团队,建议Windows繁体中文、简体中文、日文三种语系的用户,尽快依照PHP公告建议,将系统更新至8.3.8、8.2.20、8.1.29版本,避免漏洞遭有心人利用,导致个人或企业的机密敏感数据外流或更严重的资产损失危机。
PHP为最常见网站使用语言之一,数据显示全球有近八成网站使用该语言撰写而成。PHP于6日发布的最新安全更新,已修补由DEVCORE研究团队回应的重大RCE(RemoteCodeExecution,远程程序代码执行)零时差漏洞(Zero-DayVulnerability,也称0-day)CVE--,且该漏洞具高度的易用性及严重性。
该漏洞源自于PHP程序语言设计时的疏失,允许未认证的攻击者在远程服务器执行任意程序代码,漏洞影响范围广泛,包含安装于Windows操作系统上繁体中文、简体中文、日文三个语系的所有PHP版本。
建议用户应尽快更新至PHP官方最新8.3.8、8.2.20、8.1.29版本,降低资讯外流的风险。非上述三语系使用场景的用户,仍需全面盘点资产、确认使用场景并将PHP更新至最新版本。
同时,受影响的场景也包含所有版本的XAMPPforWindows安装的默认设置。XAMPP作为便于开发者集成、使用的软件安装包,是在Windows操作系统上使用PHP的主要解决方案之一,用户可以运用XAMPP轻易地创建网页服务器,Windows版本每月下载量超越万次,至今累积下载量更已突破上亿次。
由于XAMPP尚未针对此漏洞发布相对应的更新安装文件,用户如确认自身未使用PHPCGI功能,仍可修改ApacheHttpd设置文件,以避免暴露在弱点中。
DEVCORE研究团队致力于研究攻击技术及战略,钻研各类型攻击手法,长期针对Microsoft、Amazon、Google、Netflix等全球通用的产品或系统,找出对世界具重大影响的潜在漏洞。本次回应遵循责任披露(ResponsibleDisclosure)原则,发现后于年5月7日第一时间向PHP回应存在此问题,以避免该漏洞遭有心人利用,造成全球用户重大损失。
DEVCORE首席安全研究员蔡政达(OrangeTsai)指出,“由于PHP在网站生态使用极为广泛、而且该弱点易于重现,我们在发现的当下,就认知到弱点影响性相当高,并将它标记为“严重”、在第一时间回应给官方请求修补。希望未来持续通过团队的研究能力,提前找到更多的安全弱点,运用我们的力量,为网络安全、世界再多尽一份心力。”