Web 应用开发语言 PHP 惊现漏洞

作者：高桥 信赖      来源：日经BP社      加入时间：2004-07-19   

    提供安全服务的德国e-matters于当地时间7月14日披露，开放源码Web应用开发语言PHP出现可遥控修改密码的安全漏洞。受到波及的是PHP 4.0系列4.3.7以前的版本和PHP 5.0 RC3以前的版本。对策就是升级为PHP4.3.8或者PHP5.0正式版。建议目前使用PHP的服务器的管理员尽快升级版本。

    修复安全漏洞的PHP4.3.8和PHP5.0正式版已于7月13日发行。不过，尽管7月13日发行两个版本时宣称：“使用PHP4.3.8可修复安全问题，强烈呼吁所有用户进行版本升级”，但当时并未具体说明这一安全漏洞的严重程度。

    7月14日发布的安全公告中明确说明了利用这一安全漏洞遥控修改密码的严重性。安全公告中称，该安全漏洞是由PHP存储器限制功能memory_limit的缺陷引发的，启动memory_limit功能的情况下就会出现这一安全漏洞。

    另外，在PHP4.3.8中，还可以通过消除数据中标签的strip_tags()函数，修复使用“\0”使消除标签操作无效的安全漏洞。

hehe,zone-h上看过了.