设为首页收藏本站
切换到窄版

VPS侦探论坛

 找回密码
 注册
VPS侦探论坛»VPS侦探论坛 技术交流区 LNMP一键安装包 请问军哥:LNMP0.8中PHP 5.2.17漏洞可能导致DDoS攻击, ...
返回列表 发新帖
查看: 9854|回复: 8

请问军哥:LNMP0.8中PHP 5.2.17漏洞可能导致DDoS攻击,如何修补漏洞?急!!!

[复制链接]
cisco0389
发表于 2011-12-31 15:46:47 | 显示全部楼层 |阅读模式

     前日有信息显示当前包括PHP、Java、Ruby在内的很多语言版本存在漏洞,PHP官方开发组成员Laruence表示攻击者可以通过构造Hash冲突实现拒绝服务攻击,并提供了实例。这个攻击方法危害很高,攻击成本也很小,一个台式机可以轻松搞垮数十台、上百台服务器。
     此漏洞一出,相当于随便一个攻击者就可以DDoS掉世界上的大部分网站!危害等级绝对是核弹级别。因此,PHP官方开发组紧急发布了补丁,请大家尽速修补。
    PHP方面,<= 5.3.8, <= 5.4.0RC3的所有版本均会受此漏洞影响。PHP 5.3.9和PHP 5.4.0已经包含了针对此漏洞的补丁,但由于两个版本目前仍然在RC状态,无法用于生产服务器升级。至于PHP 5.2,官方开发组表示不会为了这个漏洞发布新版。
查询清单
  目前已知的受影响的语言以及版本有:
不受此影响的语言或者修复版本的语言有::
  原文链接:http://os.51cto.com/art/201112/310756.htm     请问军哥,LNMP0.8的PHP版本是5.2.17,如何升级到最新版本修补漏洞?能不能用upgrade_lnmpa_php.sh脚本直接升级?急!!!

[ 本帖最后由 cisco0389 于 2011-12-31 16:03 编辑 ]
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
回复

举报

leon365
发表于 2011-12-31 16:35:22 | 显示全部楼层


我用的lnmp0.4的
PHP 5.2.13 with Suhosin-Patch 0.9.7 (cli) (built: Jul  3 2010 08:29:19)
Copyright (c) 1997-2009 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2010 Zend Technologies
    with Zend Optimizer v3.3.9, Copyright (c) 1998-2009, by Zend Technologies
    with eAccelerator v0.9.5.3, Copyright (c) 2004-2006 eAccelerator, by eAccelerator


不知道怎么解决,网上说的是源代码包解决,现在是不知道lnmp0.4里面的php是不是源代码包!
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
回复 支持 反对

举报

licess
发表于 2011-12-31 16:48:10 | 显示全部楼层

LNMP升级PHP版本,执行如下命令:./upgrade_php.sh

LNMPA升级PHP版本,执行如下命令:./upgrade_lnmpa_php.sh

http://lnmp.org/install.html
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
回复 支持 反对

举报

cisco0389
 楼主| 发表于 2011-12-31 17:25:55 | 显示全部楼层

PHP版本无法更新到5.4.0RC4




请问军哥,PHP官网上目前稳定版只有5.3.8,还是会受影响,5.4.0RC4好像没提供下载,网站也建议不要在生产环境部署,能直接升级吗?另外,直接通过升级脚本把PHP升级了,其他组件需不需要升级,和现有环境能不能兼容?PHP官网链接:http://www.php.net/downloads.php
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
回复 支持 反对

举报

licess
发表于 2011-12-31 20:17:03 | 显示全部楼层

5.4的不清楚

军哥运维代购:http://shop63846532.taobao.com/
回复 支持 反对

举报

goodweb
发表于 2012-1-1 12:01:59 | 显示全部楼层

刚搜到的,希望军哥把补丁集成到lnmp里面

由我前面的俩篇文章介绍(通过构造Hash冲突实现各种语言的拒绝服务攻击, PHP数组的Hash冲突实例 ), 这个攻击方法危害很高, 攻击成本也很小. 一个台式机可以轻松搞垮数十台, 上百台服务器.

而和Pierre沟通后, 官方开发组不会为此发布PHP 5.2.18, 但是目前还是由不少公司还在使用5.2, 所以我特将dmitry为5.4写的patch, 分别apply到5.2上.

大家如果有用5.2的, 如果被此类攻击威胁, 可以打上下面的patch, PHP5.3的, 可以考虑升级到5.3.9, 已经包含了此patch(因为5.3.9目前是RC状态, 所以如果不愿意升级, 也可以参照这个patch自己为5.3写一个):
补丁地址
https://github.com/laruence/laru ... -5.2-max-input-vars
回复 支持 反对

举报

cisco0389
 楼主| 发表于 2012-1-2 11:22:58 | 显示全部楼层

是啊,请军哥重视一下这个问题,这是一个很严重的安全问题,如果部署的是生产环境,漏洞被别人利用了,危害太大了~军哥能不能写一个补丁升级脚本啊,这样解决了广大网友的问题,方便了很多啊~
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
回复 支持 反对

举报

dianso
发表于 2012-1-2 20:02:49 | 显示全部楼层

好像有点严重
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
回复 支持 反对

举报

wfqvip
发表于 2012-1-3 11:19:46 | 显示全部楼层

不知道是不是因为这个,我的一台84vps向外发了12TB 的带宽,导致84都把的给停了
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|VPS侦探 ( 鲁ICP备16040043号-1 )

GMT+8, 2024-9-22 01:04 , Processed in 0.028298 second(s), 16 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表