产品服务AMH 服务器主机面板AMYSQL MySQL管理工具AMFTP FTP管理客户端SSL证书 免费SSL证书申请

AMH 社区首页

 AMH社区 - 开放自由有价值的社区

[综合话题] 关于PHP远程DoS攻击漏洞 (#69364/CVE-ID 2015-4024)

amysql
创始人
99530.56 价值分

355,543 次阅读   amysql 发表于 2015-05-21 15:39:56
漏洞说明
CVE-ID: 2015-4024
编号:69364
PHP以往版本都存在一Multipart/form-data远程攻击漏洞,
攻击条件不受网站程序限制,只要当前有运行PHP脚本,攻击者都可通过发送恶意的HTTP请求进行攻击。
目前PHP-5.4.41、PHP-5.5.25、PHP-5.6.9版本已经修复。
详细查阅
https://bugs.php.net/bug.php?id=69364

漏洞测试
(以下需要提交php脚本的地址进行测试,如使用index.html测试会是不正确)
http://sec.baidu.com/index.php?phpdos
https://portal.nsfocus.com/vulnerability/list/


解决说明
AMH已经全线提供更新修复版本,包括(PHP5.2~5.6)
新安装AMH5、AMH4是已经修复的版本,之前安装的用户请参考以下方案进行升级修复。


AMH5解决方案
AMH5方案一:
AMH5支持多环境,可以安装使用PHP官方最新修复发布的版本。
在使用AMH5的用户可以面板上下载PHP-5.4.41、PHP-5.5.25 或PHP-5.6.9安装使用。
(建议使用的方案,如果当前使用的网站程序支持PHP5.4~5.6)

PHP-5.4.41 http://amh.sh/bbs/post-6737-1-1.htm
PHP-5.5.25 http://amh.sh/bbs/post-6736-1-1.htm
PHP-5.6.9 http://amh.sh/bbs/post-6735-1-1.htm
安装完成后创建新环境,原先旧环境安装使用的扩展与伪静态规则,在新环境同样安装与添加
完成新环境部署后,编辑旧环境的虚拟主机切换到新的环境即可。


AMH5方案二:
如果是在使用PHP-5.3或是PHP-5.2的用户请在面板升级到最新版本。
PHP5.3 升级至php-5.3.28p1版本 http://amh.sh/bbs/post-6786-1-1.htm



PHP5.2 升级至php-5.2.17p2版本 http://amh.sh/bbs/post-6785-1-1.htm






AMH4解决方案
AMH4.2是单一LNMP/php-5.3环境,AMH4版本所有扩展只限于php5.3版本与程序只做兼容php5.3版本,
PHP-5.3 PHP官方并不再提供更新,在使用AMH4.2的用户请使用以下命令进行升级。
sed -i 's/amysql.com/amh.sh/' /root/amh/upgrade
amh upgrade AMH4220150522A1 install
更新完成后,AMH4.2默认的php-5.3.27将升级到php-5.3.27p1版本(旧的PHP软件将备份至/usr/local/php-p1)。

提示: 如果是使用的是非AMH官方提供默认版本(其它修改衍生的版本),可能AMH4220150522A1会不可用。


评价: 这个话题有价值吗?  没有 (0分)   有, 感谢 (6分)
2015-05-21 15:39:56 1

AMH面板 - 好用高效低占用、安全可靠极稳定

ji1043
铜牌会员
849.00 价值分

支持 支持

业界良心 支持更新 amh4.2

评价: 这个回复有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2015-05-21 16:00:09 2

q889518
铜牌会员
715.14 价值分

评价: 这个回复有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2015-05-21 17:46:15 3

anneyliu
铜牌会员
992.42 价值分

。。。 哎
评价: 这个回复有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2015-05-21 23:52:34 4

Feather
铁牌会员
10.00 价值分

还是AMH牛X 支持
评价: 这个回复有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2015-05-22 20:14:31 5

tort
铁牌会员
78.00 价值分

[root@my ~]# amh upgrade AMH4220150522A1 install
=============================================================
[LNMP/Nginx] Amysql Host - AMH 4.2
http://Amysql.com

[AMH4220150522A1 install]
=============================================================
[Notice] AMH4220150522A1 is not installed.
[OK] AMH4220150522A1 is available.
--2015-05-22 12:38:44-- http://code.amysql.com/files/php-5.3.27p1.tar.gz
Resolving code.amysql.com... php 108.61.206.61
Connecting to code.amysql.com|108.61.206.61|:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://code.amh.sh/files/php-5.3.27p1.tar.gz [following]
--2015-05-22 12:38:50-- http://code.amh.sh/files/php-5.3.27p1.tar.gz
Resolving code.amh.sh... failed: No address associated with hostname.
wget: unable to resolve host address “code.amh.sh”
tar (child): php-5.3.27p1.tar.gz: Cannot open: No such file or directory
tar (child): Error is not recoverable: exiting now
tar: Child returned status 2
tar: Error is not recoverable: exiting now
/home/wwwroot/index/tmp/AMH4220150522A1: line 30: cd: php-5.3.27p1: No such file or directory
/home/wwwroot/index/tmp/AMH4220150522A1: line 31: ./configure: No such file or directory
make: *** No targets specified and no makefile found. Stop.
make: *** No rule to make target `install'. Stop.
[Notice] AMH4220150522A1 is not installed.
评价: 这个回复有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2015-05-22 20:39:41 6

lzxgh621
铜牌会员
622.00 价值分

Generating phar.php
Generating phar.phar
PEAR package PHP_Archive not installed: generated phar will require PHP's phar extension be enabled.
pharcommand.inc
directorygraphiterator.inc
directorytreeiterator.inc
clicommand.inc
invertedregexiterator.inc
phar.inc

Build complete.
Don't forget to run 'make test'.

Installing PHP SAPI module: fpm
Installing PHP CLI binary: /usr/local/php/bin/
Installing PHP CLI man page: /usr/local/php/man/man1/
Installing PHP FPM binary: /usr/local/php/sbin/
Installing PHP FPM config: /usr/local/php/etc/
Installing PHP FPM man page: /usr/local/php/man/man8/
Installing PHP FPM status page: /usr/local/php/share/php/fpm/
Installing build environment: /usr/local/php/lib/php/build/
Installing header files: /usr/local/php/include/php/
Installing helper programs: /usr/local/php/bin/
program: phpize
program: php-config
Installing man pages: /usr/local/php/man/man1/
page: phpize.1
page: php-config.1
/usr/local/php-5.3.27p1/build/shtool install -c ext/phar/phar.phar /usr/local/php/bin
ln -s -f /usr/local/php/bin/phar.phar /usr/local/php/bin/phar
Installing PDO headers: /usr/local/php/include/php/ext/pdo/
[OK] AMH4220150522A1 is already installed.

php -v
PHP 5.3.27p1
上面是成功了吧,探针里面没有p1字样是正常的吧?
评价: 这个回复有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2015-05-22 21:01:07 7

tort
铁牌会员
78.00 价值分

成功是成功了,但单独把你的tar.gz放其它地方 再更新,你们的t ar.gz经常wget不了
评价: 这个回复有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2015-05-22 21:10:38 8

jack2
银牌会员
1178.40 价值分

前排占位置 支持
评价: 这个回复有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2015-05-22 21:25:17 9

babylonking
铁牌会员
74.00 价值分

提示个经验,小内存VPS如果4.2升级到一半编译出错,先amh php stop,再升级即可。A大的脚本很完美,赞一个
评价: 这个回复有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2015-05-22 23:18:17 10
 1 2 3 >  (总3页)
AMH社区列表
用户服务中心