PHP 被发现存在多个漏洞。远端攻击者可以向受影响系统发出特制的查询,从而攻击这些漏洞。
PHP 7.1 版本将于 1.12.2019 结束,在这之后也不会再提供安全更新。旧 PHP 版本 (包括7.0及5.x版本)的支援已停止。用户应安排为 PHP 更新至最新版本,或转至其他支援的技术。
尝试利用这些漏洞可以在受影响系统导致执行任意程式码及服务受阻断。
PHP 发行了有关产品的新版本以应对以上问题。用户可从以下网址下载:
受影响系统的管理员应遵从产品供应商的建议,立即采取行动以降低风险。
https://www.php.net/ChangeLog-7.php#7.1.32
https://www.php.net/ChangeLog-7.php#7.2.22
https://www.php.net/ChangeLog-7.php#7.3.9
https://www.php.net/supported-versions.php
https://www.us-cert.gov/ncas/current-activity/2019/09/05/ms-isac-releases-advisory-php-vulnerabilities
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2019-087/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13224