PHP ‘libxml_disable_entity_loader()’ 安全漏洞(CVE-2015-8866)

企鹅博客 2019年7月12日18:09:04 发表评论 36 views

PHP 'libxml_disable_entity_loader()' 安全漏洞(CVE-2015-8866)

发布日期:2016-05-25
更新日期:2016-09-09

受影响系统:

PHP PHP < 5.5.22

PHP PHP 5.6.x < 5.6.6

描述:

BUGTRAQ  ID: 87470
CVE(CAN) ID: CVE-2015-8866

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。

PHP < 5.5.22、5.6.x < 5.6.6版本使用PHP-FPM时,ext/libxml/libxml.c未从libxml_disable_entity_loader更改中分离各个线程,远程攻击者通过构造的XML文档,可执行XXE及XEE攻击。

<*来源:Sjon
  *>

建议:

厂商补丁:

PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

URL:http://www.openwall.com/lists/oss-security/2016/04/24/1
http://git.php.net/?p=php-src.git;a=commit;h=de31324c221c1791b26350ba106cc26bad23ace9
http://www.php.net/ChangeLog-5.php
https://bugs.launchpad.net/ubuntu/+source/php5/+bug/1509817
https://bugs.php.net/bug.php?id=64938

CentOS 7.2下编译安装PHP7.0.10+MySQL5.7.14+Nginx1.10.1  http:///Linux/2016-09/134804.htm

PHP 7 ,你值得拥有  http:///Linux/2015-06/118847.htm 

在 CentOS 7.x / Fedora 21 上面体验 PHP 7.0  http:///Linux/2015-05/117960.htm 

CentOS 6.3 安装LNMP (PHP 5.4,MyySQL5.6) http:///Linux/2013-04/82069.htm 

在部署LNMP的时候遇到Nginx启动失败的2个问题 http:///Linux/2013-03/81120.htm 

Ubuntu安装Nginx php5-fpm MySQL(LNMP环境搭建) http:///Linux/2012-10/72458.htm 

《细说PHP》高清扫描PDF+光盘源码+全套教学视频 http:///Linux/2014-03/97536.htm 

CentOS 6中配置PHP的LNMP的开发环境  http:///Linux/2013-12/93869.htm 

除非注明,否则均为@企鹅博客原创文章,转载必须以链接形式标明本文链接

本文链接:https://www.qieseo.com/163092.html

weinxin
欢迎加入中国SEO站长博客之家
本站的所有资源都会上传分享到博客之家,希望大家互相学习交流进步。
企鹅博客

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: