这是一个创建于 870 天前的主题,其中的信息可能已经有所发展或是发生改变。
部署公司官网到集团 VPS ,集团上线前安全检查提示:PHP 拒绝服务安全漏洞(CVE-2018-19396)
环境:Centos7+LNMP ( PHP 5.6.4 )
 |
1
Crystal8899 2022-06-21 21:04:25 +08:00
更新升级不就行了嘛?这有啥要问的,又不是历史老系统
|
 |
2
idragonet OP @Crystal8899 试试 PHP 7.X 第三方做的网站,也不知道兼容不。
|
 |
3
jhdxr 2022-06-22 00:07:23 +08:00  1
@idragonet https://endoflife.date/php
5.6 在 3 年半前 EOL ( security support ,不只是 active support )。7.x 在 5 个月后也会终止 security support ( active support 在半年前也已经终止) 顺便说一句,虽然老版本的 php 也不是不能用(自己 patch 就行),但我猜你自己应该搞不定,也没预算找人搞。 那就最后再给个掩耳盗铃的提示吧,你们集团多半是根据版本号扫描的。。。 |
 |
4
NjcyNzMzNDQ3 2022-06-22 09:14:07 +08:00
3L + 1, 就是通过版本号扫描的,扫描报告只说漏洞编号,没有攻击过程。
|
 |
5
zhuangjia 2022-06-22 09:40:54 +08:00
能升级就升级吧
|
 |
6
Rache1 2022-06-22 10:32:49 +08:00
估计是版本号检测,你可以自己下载这个版本的代码,然后去改一下,对应的位置不一定是这个,解决办法就是阻止这几个对象的 [反]序列化。
https://github.com/php/php-src/commit/570d9b63e91ad42c7d7b4513e0072f907dc1c72e 基于前面的讨论很应该是根据版本号检测的,所以如果你不想被检测的话, 还需要改一下版本号。 这个是在 7.2.x 里面被修复的。 PHP :: Bug #77177 :: Serializing or unserializing COM objects crashes https://bugs.php.net/bug.php?id=77177 |
 |
8
pckillers 2022-06-22 12:14:53 +08:00 1
前两天遇到 CVE-2022-31626 、CVE-2022-31625 这两 PHP 的漏洞,也遇到了和 LZ 一样的问题,远古系统升级不动。
github 上有个人维护的 PHP 修了主要安全漏洞的老版本,5.x 7.x 都有 https://github.com/remicollet/php-src-security/tree/PHP-5.6-security-backports 编译完虽然代码是跑起来了,但是扔给负责安全的机构扫描,看到版本号不对就直接打回了,根本不关心具体的漏洞有没有修掉。 改源码里的版本号是是不可能改的,这种标准的背锅侠操作打死我也是不会去做的。 现在就是每天问候第三方啥时候出补丁支持 PHP7.4 。 |
 |
10
Evilk 2022-06-22 16:23:47 +08:00
还是升级 PHP 7.4 吧
目前最稳定的 等明年再换 PHP 8.0 或者 8.1 |
 |
13
liaohongxing 2022-06-22 17:15:56 +08:00
那还不简单 ,直接 nginx header 或 php header 输出 7.x 版本不就行了,改掉 php 的版本 。多半是 header 头检测
|
Select Language