一�、误差详情
PHP(Hypertext Preprocessor)即“超文本预处理器”�,是一种盛行的通用剧本语言�,适用于Web开发�。�。
克日�,PHP官方宣布多个更新版本�,修复了PHP中2个可导致远程代码执行的误差(CVE-2022-31626和CVE-2022-31625)�,详情如下�:�:�:
CVE-2022-31626�:�:�:在PHP的mysqlnd拓展中保存堆缓冲区溢出误差�,使用该误差需要攻击者有毗连php毗连数据库的权限�,通过建设恶意MySQL服务器�,使受害主机通过mysqlnd自动毗连该服务器�,触发缓冲区溢出�,从而在受害主机上导致拒绝服务或远程执行代码�。�。
CVE-2022-31625�:�:�:在PHP_FUNCTION中分配在堆上的的char*数组没有被扫除�,若是爆发转换过失�,将会挪用_php_pgsql_free_params()函数�,由于数组没有初始化�,导致可以释放之前请求的值�,导致远程代码执行�。�。
二�、影响规模
CVE-2022-31626�:�:�:
PHP 8.1.x < 8.1.7
PHP 8.0.x < 8.0.20
PHP 7.x < 7.4.30
CVE-2022-31625:
5.3.0 <= PHP 5.x <= 5.6.40
7.0.1 <= PHP 7.x < 7.4.30
8.0.0 <= PHP 8.0.x < 8.0.20
8.1.0 <= PHP 8.1.x < 8.1.7
三�、修复建议
现在官方已宣布修复版本�,用户可升级至以下清静版本�:�:�:
PHP 8.1.7
PHP 8.0.20
PHP 7.4.30
下载链接�:�:�:https://www.php.net/downloads
