漏洞预警:PHP 7的反序列化机制存在致命安全漏洞

E安全12月29日讯 根据Check Point安全研究人员所言,PHP 7的“unserialize(反序列化)”函数受到一系列安全漏洞的影响,可能允许攻击者对受影响服务器进行全面操控。
此次披露的CVE-2016-7479、CVE-2016-7480以及CVE-2016-7478等全新安全漏洞存在与今年8月发现的单一安全漏洞类似的利用方式。具体而言,此前曝光的该单一漏洞为SPL中的释放内存后使用漏洞,Check
Point方面表示其可通过“对PHP 7中的反序列化漏洞基元进行复用”而起效。

在一份阐述具体漏洞使用方法的报告当中(可前往E安全门户网站下载,或点击本业页左下角的“阅读原文”进行查看),Check Point的专家们解释称,此项反序列化函数可被滥用以实现内存读取、对象伪造并在受影响服务器上进行代码执行。他们同时强调称,尽管目前此项函数仍在使用当中,但过去几年中发生的数次案例已经证明其存在高度风险。

甲骨文发布紧急Java补丁修补可导致系统劫持的漏洞

今年8月,各位安全研究人员们还表示,上述可重复使用的漏洞基元足以触发当前反序列化机制中已经发现的一切安全漏洞。如今,他们再次宣称本轮发现的新漏洞亦可以类似的方式起效,这再次证明了其之前公布的这项调查结论。
研究发现,有大约20%的数据丢失是通过社交网络造成的。另有约20%的企业对通过社交网络发送公司数据的员工进行了相应的管教,9%的案例中开除了员工。
更重要的是,该安全企业指出这些存在于反序列化机制内的漏洞已经被众多攻击者用于立足PHP
5对各类主流平台进行入侵,具体包括Magento、vBulletin、Drupal以及Joomla!。攻击者们亦能够在客户端cookies中发送恶意制作的数据,并借此入侵其它Web服务器。

最高检国家保密局联合规范泄密案件行刑衔接工作

根据Check Point方面的说明,此次公布的前两项bug允许攻击者全面操控受影响服务器。这意味着他们能够“在网站上实现任何目标,从传播恶意软件、污损网站页面到窃取客户数据皆在此列,”安全研究人员们警告称。
而第三项bug则可在滥用后组织拒绝服务(简称DoS)攻击,如此一来攻击者将能够令网站陷入瘫痪、耗尽其内存资源并最终将其关闭。
这三项安全问题于本周公布,但其实际发现时间则更早。根据Check Point方面的介绍,这些安全漏洞已经分别于今年8月6号及9月15号被上报至PHP安全团队。其中两项安全漏洞分别在10月13号和12月1号得到修复,但仍有一项至今尚未得到解决。
Check
7能够为网站拥有者及开发人员提供诸多助益,具体包括显著提升性能表现并增添一系列重要功能。然而对于黑客来说,其又代表着一种全新攻击向量,允许他们借此找到更多此前从未公开的漏洞。”

危险!无钥匙启动漏洞,黑客瞬间盗走20多辆汽车,快去检查你的车钥…

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang [email protected]
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。
快讯:东北板块集体高开 长春一东等两股涨停
内容转载自公众号
微信扫一扫关注该公众号

调查称42%的受访者认为个人信息安全意识不足是最大的安全隐患,然后依次是安全制度不完善或未落实,安排培训不足,安全保护体系不全。

猜您喜欢

自主杀毒引擎崛起 信息安全技术国产化加速
一个信息安全动画小故事,随意丢弃损毁的U盘,被保洁员拾走,泄了密……
如何识别和防范假冒WiFi热点
13座桥梁装上隔音屏“降噪”二环线
RCE-EVENT NOTSTARRING
门可罗雀的公司安全部门