这是一个创建于 1274 天前的主题,其中的信息可能已经有所发展或是发生改变。
部署公司官网到集团 VPS ,集团上线前安全检查提示:PHP 拒绝服务安全漏洞(CVE-2018-19396)
环境:Centos7+LNMP ( PHP 5.6.4 )
 | 1 Crystal8899 2022-06-21 21:04:25 +08:00 更新升级不就行了嘛?这有啥要问的,又不是历史老系统 |
 | 2 idragonet OP @Crystal8899 试试 PHP 7.X 第三方做的网站,也不知道兼容不。 |
 | 3 jhdxr 2022-06-22 00:07:23 +08:00  1 @idragonet https://endoflife.date/php 5.6 在 3 年半前 EOL ( security support ,不只是 active support )。7.x 在 5 个月后也会终止 security support ( active support 在半年前也已经终止) 顺便说一句,虽然老版本的 php 也不是不能用(自己 patch 就行),但我猜你自己应该搞不定,也没预算找人搞。 那就最后再给个掩耳盗铃的提示吧,你们集团多半是根据版本号扫描的。。。 |
 | 4 NjcyNzMzNDQ3 2022-06-22 09:14:07 +08:00 3L + 1, 就是通过版本号扫描的,扫描报告只说漏洞编号,没有攻击过程。 |
 | 5 zhuangjia 2022-06-22 09:40:54 +08:00 能升级就升级吧 |
 | 6 Rache1 2022-06-22 10:32:49 +08:00 估计是版本号检测,你可以自己下载这个版本的代码,然后去改一下,对应的位置不一定是这个,解决办法就是阻止这几个对象的 [反]序列化。 https://github.com/php/php-src/commit/570d9b63e91ad42c7d7b4513e0072f907dc1c72e 基于前面的讨论很应该是根据版本号检测的,所以如果你不想被检测的话, 还需要改一下版本号。 这个是在 7.2.x 里面被修复的。 PHP :: Bug #77177 :: Serializing or unserializing COM objects crashes https://bugs.php.net/bug.php?id=77177 |
 | 8 pckillers 2022-06-22 12:14:53 +08:00 1 前两天遇到 CVE-2022-31626 、CVE-2022-31625 这两 PHP 的漏洞,也遇到了和 LZ 一样的问题,远古系统升级不动。 github 上有个人维护的 PHP 修了主要安全漏洞的老版本,5.x 7.x 都有 https://github.com/remicollet/php-src-security/tree/PHP-5.6-security-backports 编译完虽然代码是跑起来了,但是扔给负责安全的机构扫描,看到版本号不对就直接打回了,根本不关心具体的漏洞有没有修掉。 改源码里的版本号是是不可能改的,这种标准的背锅侠操作打死我也是不会去做的。 现在就是每天问候第三方啥时候出补丁支持 PHP7.4 。 |
 | 10 Evilk 2022-06-22 16:23:47 +08:00 还是升级 PHP 7.4 吧 目前最稳定的 等明年再换 PHP 8.0 或者 8.1 |
 | 13 liaohongxing 2022-06-22 17:15:56 +08:00 那还不简单 ,直接 nginx header 或 php header 输出 7.x 版本不就行了,改掉 php 的版本 。多半是 header 头检测 |
Select Language