南京华籁云信息技术有限公司
18066058025 025-85999293
  1. 首页 > 解决方案 > 技术博客

【安全预警】PHP 远程代码执行(CVE-2024-4577) - PHP CGI 参数注入漏洞

作者:华籁云 日期:2024-06-15 06:54:50 点击数:

尊敬的华籁云用户,您好!


近日我司安全部门监测,PHP 远程代码执行漏洞(CVE-2024-4577)正在被大量利用,此漏洞让未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护,通过参数注入攻击在远程PHP服务器上执行任意代码,从而导致远程代码执行、敏感信息泄露或造成服务器崩溃。目前该漏洞技术细节已在互联网上公开,鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

影响范围

影响系统:Windows系统语言为 简体中文,繁体中文,日文

服务模式:Apache+CGI (XAMPP等类似服务套件)、IIS+CGI (旧版本系统使用cgi模式执行php)

受影响PHP版本

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

PHP 7.*

PHP 5.*

处置建议

1、安全更新

目前官方已有可更新版本,建议受影响用户升级至最新版本:

PHP 8.3 >= 8.3.8

PHP 8.2 >= 8.2.20

PHP 8.1 >= 8.1.29

注:由于 PHP 8.0、PHP 7 和 PHP 5 的分支已终止使用,并且不再维护,服务器管理员可以参考“缓解方案”中的临时补丁建议。

官方下载地址:

https://www.php.net/downloads.php

缓解方案

1.对于无法升级PHP的用户:

a、修改系统语言为非目标语言可缓解此漏洞;

b、通过以下重写规则可用于阻止攻击。

RewriteEngineOn

RewriteCond%{QUERY_STRING} ^%ad [NC]

RewriteRule .? - [F,L]

2. 对于使用 XAMPP for Windows 的用户:

如果确认不需要 PHP CGI 功能,可以通过修改以下 Apache HTTP Server 配置来避免受到该漏洞的影响:

C:/xampp/apache/conf/extra/httpd-xampp.conf

找到相应的行:

ScriptAlias /php-cgi/ "C:/xampp/php/"

并将其注释掉:

# ScriptAlias /php-cgi/ "C:/xampp/php/"

3、迁移至更安全的PHP运行模式

如 Mod-PHP、FastCGI 或 PHP-FPM

其他说明

华籁云虚拟主机采用fastcgi架构,不受本次漏洞影响

参考资料

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/

https://www.kb.cert.org/vuls/id/520827

https://www.php.net/manual/en/security.cgi-bin.php



关于我们:华籁云(www.hualaiyun.cn)隶属南京华籁云信息技术有限公司,是一家专注于网站及服务器综合业务提供商。服务包括:南京网站建设南京域名注册南京虚拟主机南京服务器租用南京服务器维护南京网站维护,公司配有客服、技术、开发等部门,拥有数名安全专家,7*24为用户提供技术服务。

欢迎联系华籁云(HUALAIYUN)我们将竭诚为您服务!

接待地址:南京市文景路61号垠坤创芯汇(各区均有办公接待处) 贴心服务:一个电话免费预约来访或者上门洽谈


随便看看