PHP 被發現存在多個漏洞。遠端攻擊者可以向受影響系統發出特製的查詢,從而攻擊這些漏洞。
PHP 7.1 版本將於 1.12.2019 結束,在這之後也不會再提供安全更新。舊 PHP 版本 (包括7.0及5.x版本)的支援已停止。用戶應安排為 PHP 更新至最新版本,或轉至其他支援的技術。
嘗試利用這些漏洞可以在受影響系統導致執行任意程式碼及服務受阻斷。
PHP 發行了有關產品的新版本以應對以上問題。用戶可從以下網址下載:
受影響系統的管理員應遵從產品供應商的建議,立即採取行動以降低風險。
https://www.php.net/ChangeLog-7.php#7.1.32
https://www.php.net/ChangeLog-7.php#7.2.22
https://www.php.net/ChangeLog-7.php#7.3.9
https://www.php.net/supported-versions.php
https://www.us-cert.gov/ncas/current-activity/2019/09/05/ms-isac-releases-advisory-php-vulnerabilities
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2019-087/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13224