PHP曝远程DOS漏洞可致CPU持续占满,请注意升级

 PHP是一个开放的平台，集成了广大PHP爱好者的智慧精华，为社会产生了极大的效益，使用十分广泛。

    但是PHP曝出的漏洞也不小，前不久一次hash漏洞导致PHP服务器CPU占满，最近一次的远程DOS漏洞也导致PHP服务器拒绝服务，导致多个版本的PHP受到波及：

    • PHP 5.0.0 - 5.0.5
    • PHP 5.1.0 - 5.1.6
    • PHP 5.2.0 - 5.2.17
    • PHP 5.3.0 - 5.3.29
    • PHP 5.4.0 - 5.4.40 （5.4.41已经修复）
    • PHP 5.5.0 - 5.5.24 （5.5.25已经修复）
    • PHP 5.6.0 - 5.6.8  （5.6.9已经修复）

    据分析，此次DOS漏洞产生的原因是PHP解析multipart/form-data的http请求时，在body部分的请求头部分，重复拷贝字符串导致CPU消耗。而远程攻击者可以通过发送数据量足够大的multipart/form-data请求，导致服务器CPU资源被耗尽，从而产生DOS漏洞。

    bug #69364 (PHP Multipart/form-data remote dos Vulnerability).

    针对以上严重问题，PHP官方也做出了响应，推出了升级补丁，但补丁仅限于5.4/5.5/5.6，并没有5.2和5.3的，护卫神也及时推出PHP环境一键安装包，欢迎广大用户下载升级或安装，地址：https://www.hws.com/soft/php/

    针对PHP5.3.x和PHP5.2.x，我们会跟进PHP官方，及时升级。