PHP (php-fpm) biztonsági sérülékenység – Nemzeti Kibervédelmi Intézet

NBSZ-NKI website

PHP (php-fpm) biztonsági sérülékenység

2018. március 6. 07:09

CH azonosító

CH-14378

Angol cím

PHP (php-fpm) Service Vulnerability

Felfedezés dátuma

2018.03.04.

Súlyosság

Érintett rendszerek

PHP

Érintett verziók

5.5.0(Base) | 5.5.1(Base) | 5.5.10(Base) | 5.5.11(Base) | 5.5.12(Base) | 5.5.13(Base) | 5.5.14(Base) | 5.5.15(Base) | 5.5.16(Base) | 5.5.17(Base) | 5.5.18(Base) | 5.5.19(Base) | 5.5.20(Base) | 5.5.21(Base) | 5.5.22(Base) | 5.5.23(Base) | 5.5.24(Base) | 5.6.1(Base) | 5.6.0(Base) | 5.6.2(Base) | 5.6.3(Base) | 5.6.4(Base) | 5.6.5(Base) | 5.6.6(Base) | 5.6.8(Base) | 5.6.7(Base) | 5.6.9(Base) | 5.6.21(Base) | 5.6.22(Base) | 5.6.23(Base) | 5.4.43(Base) | 5.4.44(Base) | 5.6.10(Base) | 5.6.11(Base) | 5.6.12(Base) | 5.5.25(Base) | 5.5.26(Base) | 5.5.27(Base) | 5.5.28(Base) | 5.6.24(Base) | 5.6.25(Base) | 5.6.26(Base) | 5.6.27(Base) | 5.6.28(Base) | 5.6.29(Base) | 5.6.30(Base) | 5.6.31(Base) | 7.0(.0,.1,.2,.3,.4,.5,.6,.7,.8,.9,.10,.11,.12,.13,.14,.15,.16,.17,.18,.19,.20,.21,.22,.23,.24) | 7.1(.0,.1,.2,.3,.4,.5,.6,.7,.8,.9,.10) | 7.2(.0,.1,.2)

Összefoglaló

A php-fpm sérülékenysége vált ismertté, melyet kihasználva távoli felhasználó képes szolgáltatás megtagadásos (DoS) állapotot létrehozni.

Leírás

A most publikált sérülékenység kihasználása egy manuálisan átalakított PHP szkript futtatásával valósulhat meg, amelynek a nem megfelelő feldolgozása felemészti a rendelkezésre álló CPU erőforrást és maximális lemezterület használatot generál, ezzel létrehozva a szolgáltatás megtagadásos (DoS) állapotot. A sérülékenység távoli kihasználásához megengedő hálózati szabályok esetén van lehetőség, így a nem megbízható forrásból elküldhető és futtatható a megosztott hálózati host szerveren az átalakított káros szkript.

Megoldás

Telepítse a javítócsomagokat

Megoldás

Az alábbi linken elérhető egy javító patch, amit a PHP oldalán a #73342 hibajelentésben tesznek közzé:

https://gist.github.com/anonymous/080bdb43fe9a0eb57609a93e9e4dd093

Támadás típusa

Deny of service (Szolgáltatás megtagadás)

Hatás

Loss of availability (Elérhetőség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: bugs.php.net
Gyártói referencia: bugs.php.net
Gyártói referencia: bugs.php.net
Egyéb referencia: tools.cisco.com
CVE-2015-9253 - NVD CVE-2015-9253

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-24228 – Apple sebezhetősége

CVE-2025-24097 – Apple sebezhetősége

CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége

CVE-2025-1268 – Canon sebezhetősége

CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége

CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége

CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége

CVE-2025-26630 – Microsoft Access RCE sebezhetősége

CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége

Tovább a sérülékenységekhez »

Ugrás a tetejére