网站建设| 数据库类| 图形图象| 程序设计| 现代办公| 操作系统| 考试认证| 网络技术| 软件工程| 电脑相关| 文学作品
网站开发| 网页制作| 操作系统| 图象图形| 考试认证| 数据库类| 程序设计| 硬件技术| 现代办公| 网络技术| 笑话频道
 
您的位置: 电脑书库首页-> 电脑文摘-> 网站开发-> PHP技术-> 对PHP文件上传存在漏洞的解决办法

对PHP文件上传存在漏洞的解决办法
作者:金山毒霸安全小组 来源:金山反病毒资讯网 加入时间:2003-7-21
相关文章 相关书籍:


  使用脚本来实现网站动态效果,已经广泛应用于各个网站和WEB方式交互应用。而且,为实现更大交互性,很多都提供诸如图片上传、文件上传等功能其中ASP和PHP使用最为普遍。架设在IIS服务器上的ASP应用因为IIS的安全问题,让很多安全专家建议使用相对安全的PHP脚本。但是近日由德国e-matters公司发布了多个关于PHP文件上传函数中存在的远程漏洞,这些漏洞将广泛影响到IIS、Apache、Netscape、iPlanet等WEN服务器上使用PHP的安全。

  如果攻击者利用这些漏洞,将能够执行任意程序。这个漏洞出现在php_mime_split函数中,该函数存在一些缓冲区溢出和脆弱的边界检查问题,其中的一些缓冲区问题能够被很容易利用。边界检查问题只在Linux和Solaris系统上可利用,而PHP3中存在的缓冲区溢出问题则影响了Linux,BSD,Windows,Solaris等系统。

  由于PHP在Linux、Solaris等系统上使用广泛,金山毒霸安全小组建议使用PHP的用户请注意更新版本。请升级到2002-2-27发布的PHP 4.1.2版本。

  下载地址:http://www.php.net/do_download.php?download_file=php-4.1.2.tar.gz

  或者安装相应版本的补丁,这些补丁可以在http://www.php.net/downloads.php下载。

  这些补丁包括:

PHP 4.1.0/4.11版本(1Kb):

http://www.php.net/do_download.php?download_file=rfc1867.c.diff-4.1.x.gz

PHP 4.0.6版本(2Kb):

http://www.php.net/do_download.php?download_file=rfc1867.c.diff-4.0.6.gz

PHP 3.0版本(1Kb):

http://www.php.net/do_download.php?download_file=mime.c.diff-3.0.gz

如果使用的是PHP 4.0.3及以上版本,如果不使用上传功能,金山毒霸安全小组建议修改PHP中的配置文件,取消该功能,这样可以不受该漏洞影响。

编辑配置文件php.ini,设置:file_uploads = off。


[文章录入员:lpc]

相关文章 相关书籍:
本站推荐内容

近期主机类热搜关键词:
美国服务器 美国服务器租用 海外服务器租用 国外服务器租用

PHP技术
ASP/ASP.NET
PHP技术
JSP技术
XML技术
CGI/PERL
WEB服务器
WordPress专题
其它
电脑教程阅读排行
·PHP入门速成(1)
·两个PHP发送邮件的例子
·PHP入门速成(2)
·PHP入门速成(3)
·对PHP文件上传存在漏洞的解决办...
·功能齐全的发送PHP邮件类
·实例学习PHP之投票程序篇(一)
·PHP比ASP优秀的七个理由
·实例学习PHP之投票程序篇(二)
·PHP入门速成(3)