教育机构ANA通报平台
发布编号 |
TACERT-ANA-2024061108062323 |
发布时间 |
2024-06-11 08:24:25 |
事故类型 |
ANA-漏洞预警 |
发现时间 |
2024-06-07 21:58:25 |
影响等级 |
中 |
||
[主旨说明:]【漏洞预警】PHP存在高风险安全漏洞(CVE-2024-4577),请尽速确认并进行修补! |
|||
[内容说明:] 转发 国家资安资讯分享与分析中心 NISAC-200-202406-00000050 研究人员发现PHP存在引数注入(Argument Injection)漏洞(CVE-2024-4577),未经身分鑑别之远端攻击者可透过特定字符序列绕过旧有CVE-2012-1823弱点修补后之保护,并透过引数注入等攻击于远端PHP服务器上执行任意程式码,请尽速确认并进行修补。 情资分享等级: WHITE(情资内容为可公开揭露之资讯) 烦请贵单位协助公告或转发 |
|||
[影响平台:] ● PHP 8.3分支:8.3.8(不含)以下版本 ● PHP 8.2分支:8.2.20(不含)以下版本 ● PHP 8.1分支:8.1.29(不含)以下版本 ● PHP 8.0分支所有版本 ● PHP 7所有版本 ● PHP 5所有版本 |
|||
[建议措施:] 官方已针对漏洞释出修复更新,请更新至以下版本: ● PHP 8.3分支请更新至8.3.8(含)以上版本 ● PHP 8.2分支请更新至8.2.20(含)以上版本 ● PHP 8.1分支请更新至8.1.29(含)以上版本 针对PHP 8.0、7及5 官方已不再维护,建议更换至仍在维护之版本 若无法更新PHP,可参考以下缓解方式: https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/#1-%E5%B0%8D%E7%84%A1%E6%B3%95%E6%9B%B4%E6%96%B0-php-%E7%9A%84%E4%BD%BF%E7%94%A8%E8%80%85 如使用XAMPP for Windows版本,可参考以下说明: https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/#2-%E5%B0%8D-xampp-for-windows-%E4%BD%BF%E7%94%A8%E8%80%85 |
|||
(此通报仅在于告知相关资讯,并非为资安事件),如果您对此通报的内容有疑问或有关于此事件的建议,欢迎与我们连络。 |
教育机构资安通报应变小组 |