注册
|
提交需求
|
订阅
|
English
首 页
解决方案
产 品
服 务
支 持
EDN系统
成功案例
关于我们
联系我们
树结构图
EDN系统
图形图像
网络安全
项目专题
WEB开发
办公系列
操作系统
数据库
程序设计
TOP 10
在Foxmail中如何使…
Ftp 子命令
BigDecimal
MSN在线客服功能模块使…
会员卡使用方法说明
DataInputStr…
留言板功能说明
BufferedInpu…
CScript
设置打印机
您现在的位置:
>
技术沙龙
>
WEB开发
>
PHP
>
对PHP文件上传存在漏洞的解决办法
相关软件
>
对PHP文件上传存在漏洞的解决办法
创建者:
webmaster
更新时间:
2005-07-02
00:23
使用脚本来实现网站动态效果,已经广泛应用于各个网站和WEB方式交互应用。而且,为实现更大交互性,很多都提供诸如图片上传、文件上传等功能其中ASP和PHP使用最为普遍。架设在IIS服务器上的ASP应用因为IIS的安全问题,让很多安全专家建议使用相对安全的PHP脚本。但是近日由德国e-matters公司发布了多个关于PHP文件上传函数中存在的远程漏洞,这些漏洞将广泛影响到IIS、Apache、Netscape、iPlanet等WEN服务器上使用PHP的安全。
??
如果攻击者利用这些漏洞,将能够执行任意程序。这个漏洞出现在php_mime_split函数中,该函数存在一些缓冲区溢出和脆弱的边界检查问题,其中的一些缓冲区问题能够被很容易利用。边界检查问题只在Linux和Solaris系统上可利用,而PHP3中存在的缓冲区溢出问题则影响了Linux,BSD,Windows,Solaris等系统。
??
由于PHP在Linux、Solaris等系统上使用广泛,金山毒霸安全小组建议使用PHP的用户请注意更新版本。请升级到2002-2-27发布的PHP 4.1.2版本。
下载
地址:
http://www.php.net/do_download.php?download_file=php-4.1.2.tar.gz
或者安装相应版本的补丁,这些补丁可以在
http://www.php.net/downloads.php
下载。
这些补丁包括:
??PHP 4.1.0/4.11版本(1Kb):
??
http://www.php.net/do_download.php?download_file=rfc1867.c.diff-4.1.x.gz
??PHP 4.0.6版本(2Kb):
??
http://www.php.net/do_download.php?download_file=rfc1867.c.diff-4.0.6.gz
??PHP 3.0版本(1Kb):
??
http://www.php.net/do_download.php?download_file=mime.c.diff-3.0.gz
??
??如果使用的是PHP 4.0.3及以上版本,如果不使用上传功能,金山毒霸安全小组建议修改PHP中的配置文件,取消该功能,这样可以不受该漏洞影响。
??编辑配置文件php.ini,设置:file_uploads = off。
相关文章
前一则:
实例学习PHP之投票程序篇(一)
后一则:
实例学习PHP之投票程序篇(二)
本页查看次数:
公司公告
|
客户调查
|
法律声明
|
诚聘英才
|
给我们投稿
|
繁
闪
头像
京ICP备05031245号
Copyright @ REDCOME.com ALL Rights Reserved
北京怡康软件科技有限公司 地址:北京市昌平区东小口立汤路188号北方明珠大厦1号楼2708 邮编:102218 电话:84909966 传真:84909900 QQ:335601661