一昨日、PHP、Java、Ruby を含む多くの言語バージョンに現在脆弱性があるという情報があり、PHP 公式開発チームのメンバーである Laruence (Sina Weibo) 氏は、攻撃者は次のようなものを構築することでサービス妨害攻撃を実行できると述べました。ハッシュの競合と例を示します。この攻撃方法は非常に有害であり、攻撃コストは非常にわずかです。1 台のデスクトップ コンピュータで数十、数百のサーバーを簡単に停止させることができます。
この脆弱性が発見されると、攻撃者は世界中のほとんどの Web サイトに対して DDoS 攻撃を行うことができるようになり、その被害レベルは間違いなく核爆弾レベルになります。したがって、PHP 公式開発チームは緊急にパッチをリリースしました。できるだけ早くパッチを適用してください。
PHP に関しては、
現在提供されている公式の解決策は、PHP 環境にパッチを適用することです。これは 5.2 と 5.3 の両方で使用できます。パッチのアドレスは次のとおりです:
https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars
使用方法:
1. cd で php src に移動し、patch -p1
を実行します。2. 最新の PHP 5.3.9-RC4 ではこの脆弱性が修正されており、5.3 のユーザーは 5.3.9-RC4 に直接アップグレードできます。
もちろん、RC バージョンに更新したくない場合は、上記のパッチを変更して、対応するバージョン 5.3 に適用することもできます。
Laruence氏は、JavaやRubyなど他の言語も提案しています。post_sizeの制限は一時的な解決策ではありますが、事前に対策を考えてください。
一時的なソリューションのリファレンス: http://www.54chen.com/php-tech/hashdos.html
さらに、Microsoft は ASP.net の脆弱性を修正するための緊急アップデートもリリースしました:
http://netsecurity.51cto.com/art/201112/310628.htm
クエリリスト
現在知られている影響を受ける言語とバージョンは次のとおりです::
Java、すべてのバージョン
JRuby
PHP
Python、すべてのバージョン
ルビニウス、すべてのバージョン
ルビー
Apache Geronimo、すべてのバージョン
Apache Tomcat
オラクル グラスフィッシュ
Jetty、すべてのバージョン
Plone、すべてのバージョン
ラック、すべてのバージョン
V8 JavaScript エンジン、すべてのバージョン
この影響を受けない言語、または修復されたバージョンのある言語は次のとおりです::
PHP >= 5.3.9、>= 5.4.0RC4
JRuby >= 1.6.5.1
Ruby >= 1.8.7-p357, 1.9.x
Apache Tomcat >= 5.5.35、>= 6.0.35、>= 7.0.23
Oracle Glassfish、該当なし (Oracleは、この問題はメインのコードラインで修正され、将来のCPUに搭載される予定であると報告しています)
CVE: CVE-2011-4885 (PHP)、CVE-2011-4461 (Jetty)、CVE-2011-4838 (JRuby)、CVE-2011-4462 (Plone)、CVE-2011-4815 (Ruby)
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
