【复现】PHP拒绝服务漏洞(CVE-2023-0662)风险通告
2023-2-17 11:36:25 Author: 赛博昆仑CERT(查看原文) 阅读量:68 收藏

-赛博昆仑漏洞安全通告-

PHP拒绝服务漏洞
风险通告(CVE-2023-0662)

漏洞描述

PHP(Hypertext Preprocessor,超文本预处理器)是一种通用开源脚本语言,其语法吸收了C语言、Java 和 Perl 的特点,利于学习,使用广泛,主要适用于 Web 开发领域。

近日,赛博昆仑监测到PHP拒绝服务的漏洞情报,未经身份验证的攻击者可以通过构造特殊的HTTP请求利用此漏洞使用大量的CPU时间并触发过多的日志记录,从而导致拒绝服务。

2023年2月16号PHP官方发布了漏洞公告。赛博昆仑已经确认该漏洞利用原理,为了更好地帮助客户阻止攻击,我们发布漏洞预警应急方案应对漏洞攻击开展排查和补救措施,以避免潜在的重大安全风险和损失

漏洞名称
PHP拒绝服务漏洞
漏洞公开编号
CVE-2023-0662
昆仑漏洞库编号
CYKL-2023-001431
漏洞类型
DoS
公开时间
2023-02-16
漏洞等级
高危
CVSS评分
7.5
漏洞所需权限
无权限要求
漏洞利用难度
PoC状态
未知
EXP状态
未知
漏洞细节
未知
在野利用
未知
影响版本

PHP

8.0.0 - 8.0.27

8.1.0 - 8.1.15

8.2.0 - 8.2.2

漏洞复现
复现环境
   Apache + PHP 8.0.2
复现详情
    访问文件上传地址: http://192.168.193.1/upload.php。

 运行漏洞脚本:

之后再次访问http://192.168.193.1/upload.php,发现服务器返回503。并且此时访问其他路由,服务器也会返回503。

检测方法
目前赛博昆仑-洞见产品已集成该漏洞规则,可以对该拒绝服务漏洞进行检测。
修复建议

目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。

PHP 8.0 >= 8.0.28

PHP 8.1 >= 8.1.16

PHP 8.2 >= 8.2.3

技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

参考链接

https://github.com/php/php-src/security/advisories/GHSA-54hq-v5wp-fqg
时间线
2023年2月16日,PHP官方发布安全通告
2023年2月16日,赛博昆仑CERT向订阅客户发送安全风险通告
2023年2月17日,赛博昆仑CERT发布漏洞应急通告

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247483897&idx=2&sn=bd38549a5408f6617e52502e0f2966fa&chksm=c12afc78f65d756e470825720d0f71d3c706e9380f24ae22cdb887a3cd7402c01dae74b8532b#rd
如有侵权请联系:admin#unsafe.sh