Embedded Files
以PHP程式語言為例,每年都有新的漏洞被發現,不應低估舊版本帶來的風險;
因此需定期更新並檢視目前所使用的版本(伺服器、程式語言等)是否有新發現的CVE漏洞資訊。
而進行版更時,也務必需要先建置測試區更新測試,且經由程式開發人員評估確認程式功能運作皆正常,
再於正式區修補。
以PHP程式語言為例,每年都有新的漏洞被發現,不應低估舊版本帶來的風險;
因此需定期更新並檢視目前所使用的版本(伺服器、程式語言等)是否有新發現的CVE漏洞資訊。
而進行版更時,也務必需要先建置測試區更新測試,且經由程式開發人員評估確認程式功能運作皆正常,
再於正式區修補。
如果您的系統使用了 PHP 和 Apache 架構,建議定期追蹤所使用的版本是否存在相關漏洞。如果發現版本過舊,建議及時更新到較新的版本。
在進行版本更新時,根據資通安全責任等級分級辦法的附表十資通系統防護基準表系統與服務獲得構面中,對於等級「中」和「高」以上的控制措施,建議在開發、測試和正式作業環境中進行區隔。因此在進行更新之前,應先在測試環境中進行更新測試,以確保更新後的系統的完整性和可用性。這樣可以降低更新可能引起的不可預期的問題,並確保系統在更新後能夠正常運作。
請注意,進行版本更新前應該先進行備份,以防止意外情況發生。此外,建議遵循資訊安全最佳實踐,例如定期監控安全公告和漏洞資訊,以便及時採取相應的措施保護系統的安全。
以這張圖可以看的出來在2016年發現109個漏洞,PHP版本介於5.6.x~7.0.11版本,後續幾個年度版本更新後相對的漏洞數量有減少的驅勢。
⚠️重點說明
(1) 5.6~7.0版已經在2018年底停止安全性更新,因此存在上述之版本的新漏洞將不再更新。
(2) 舊版漏洞不再修補的問題,相對要有其他方案來解決,以減少被攻擊的機率
(3) 如使用wordpress建置網站,在環境需求也會有使用php7.4或更新版本的建議。
⬅️這張圖可以看的出來2000-2023年間PHP各攻擊漏洞之總計,其中前三名為:
(1) Denial of Service(拒絕服務攻擊)
攻擊者通過向應用程序發送大量的請求或惡意數據,從而使應用程序無法正常運行。為了防止這種攻擊,開發人員需測試應用程序的性能和安全性,同時還需要實施限制和安全措施,以防止攻擊者進行拒絕服務攻擊。
(2) Overflow(緩衝區溢出)
攻擊者通過向程序輸入太多的數據,從而覆蓋相鄰的內存區域,進而執行任意代碼。為了防止這種漏洞,開發人員需使用安全的函數來處理數據。
(3)Execute Code(執行代碼漏洞)
攻擊者通過向應用程序輸入惡意代碼來執行任意代碼,甚至接管整個應用程序。這種漏洞可以通過對輸入數據進行嚴格的驗證和過濾來防止。
Apache是一個廣泛使用的開源網頁伺服器軟體,根據數據顯示,近六年來它的CVE漏洞數量平均約為180個,這意味著我們在使用Apache時需要特別關注其安全性。為了確保系統的安全,我們應該定期追蹤Apache官網釋出的安全性報告,來瞭解最新的漏洞和修補程式,以利評估更新和修補Apache,避免受到已知漏洞的攻擊。
⚠️重點說明
(1) Apache httpd 2.2 自 2017 年 12 月起已終止使用。
(2) 舊版漏洞不再修補的問題,相對要有其他方案來解決,以減少被攻擊的機率
1999-2023年Apache各攻擊漏洞之總計
⬅️這張圖可以看的出來1999-2023年間Apache各攻擊漏洞之總計,其中前三名為:
(1) Denial of Service(拒絕服務攻擊)
攻擊者通過向應用程序發送大量的請求或惡意數據,從而使應用程序無法正常運行。為了防止這種攻擊,開發人員需測試應用程序的性能和安全性,同時還需要實施限制和安全措施,以防止攻擊者進行拒絕服務攻擊。
(2)XSS(跨站腳本攻擊)
攻擊者利用XSS漏洞可以在受影響的網站上執行任意的腳本代碼。為了防止XSS攻擊,開發人員應該採取適當的安全措施,如輸入驗證和過濾、使用安全的編碼方法(如HTML編碼或URL編碼)、限制腳本執行等。
(3)Execute Code(執行代碼漏洞)
攻擊者通過向應用程序輸入惡意代碼來執行任意代碼,甚至接管整個應用程序。這種漏洞可以通過對輸入數據進行嚴格的驗證和過濾來防止。
🆕相關新聞
🆕相關新聞
Apache Log4j 是一個常見的免費的 Java 開源軟體,它允許開發人員在應用程序中實現高度可配置的日誌記錄,以捕獲和記錄運行時的事件、錯誤和其他重要信息。它支援多種日誌輸出格式,如控制台輸出、文件輸出、資料庫輸出等,並且可以根據日誌記錄級別來過濾和管理輸出。
然而,在2021年12月,Apache Log4j 出現了一個重大的安全漏洞(CVE-2021-44228),該漏洞被稱為 Log4Shell 或 Log4j RCE。這個漏洞使得攻擊者可以透過特定的攻擊請求執行任意的遠程代碼,這對所有採用 Java 的組織都造成了影響。美國資安主管機關「資安暨關鍵基礎設施安全局」(CISA)已經發出命令,要求美國聯邦政府各單位必須立即測試並處理該漏洞。這個安全漏洞影響了一些大型網站,包括微軟的 Minecraft、蘋果的 iCloud、Steam等。同時,Nvidia、HPE、IBM等大廠也公布了受到 Log4j 漏洞影響的產品。
👉Apache 官方已提出了修補 Log4j 安全漏洞的方法,使用者應該儘快按照官方的建議進行修補以確保系統的安全。👈
掃描工具:
美國卡內基美隆大學 CERT/CC 為因應此次漏洞,製作掃描器於 GitHub 上供大眾下載使用,以讓使用者確認所使用之 Apache Log4j 版本與是否具本次 漏洞風險。
👉操作說明:Apache Log4j漏洞掃描工具使用說明書
(參考來源:國家資通安全通報應變網站)
2019年10月PHP 傳出遠端程式碼執行(RCE)漏洞,並傳出已被駭客用來發動攻擊,PHP官方也推出更新版本 。若你的網站使用PHP開發,並以Nginx建置網頁伺服器,而且開啟了PHP-FPM(FastCGI Process Manager)處理網頁存取的請求,請注意是否存在漏洞CVE-2019-11043。
於2022年6月威聯通發布資安通告,指出旗下的NAS設備包括:QTS、QuTS hero、QuTScloud作業系統設備,可能會受到PHP漏洞CVE-2019-11043影響。若Nginx組態配置不當,可能會受到此漏洞影響,一旦攻擊者利用這項漏洞,就有可能遠端執行程式碼,因此呼籲尚未進行修補的廠商盡快進行漏洞修補,以免遭受惡意攻擊。
舉例相關CVE漏洞
舉例相關CVE漏洞
描述:sapi/cgi/cgi_main.c in PHP before 5.3.12 and 5.4.x before 5.4.2, when configured as a CGI script (aka php-cgi), does not properly handle query strings that lack an = (equals sign) character, which allows remote attackers to execute arbitrary code by placing command-line options in the query string, related to lack of skipping a certain php_getopt for the 'd' case.
⚠️此類攻擊可以允許遠程攻擊者執行任意程式碼 ⚠️
說明:駭客使用PHP的漏洞上傳偽造GIF(Graphics Interchange Format)檔案的Webshell程式,並從資料庫竊取用戶帳號、密碼等個資。
A. 駭客控制機器人進行攻擊。
B. 透過漏洞CVE-2012-1823對網站植入Webshell。
C. 藉由網站驗證功能不完整的情況下,Webshell偽裝成GIF檔案執行惡意行為。
D. 對資料庫的資料進行竊取、並創建後門。
(資料引用:【情資案例調查報告】偽造GIF檔案植入惡意Webshell程式 )
漏洞解決方案:
升級到 PHP 版本 5.3.12 下載並套用更新:http://www.php.net/releases/
升級到 PHP 版本 5.4.2 下載並套用更新:http://www.php.net/releases/
描述:gd_gif_in.c in the GD Graphics Library (aka libgd), as used in PHP before 5.6.33, 7.0.x before 7.0.27, 7.1.x before 7.1.13, and 7.2.x before 7.2.1, has an integer signedness error that leads to an infinite loop via a crafted GIF file, as demonstrated by a call to the imagecreatefromgif or imagecreatefromstring PHP function. This is related to GetCode_ and gdImageCreateFromGifCtx.
⚠️此類攻擊會導致程式陷入無窮迴圈⚠️
說明:PHP的CVE-2018-5711漏洞,它能用一張GIF圖片就可導致伺服器發生崩潰直至宕機。
漏洞存在於文件ext/gd/libgd/gd_gif_in.c中,其中在LWZReadByte_函數中存在一個循環(while-loop)。
攻擊者可以通過精心製作的GIF文件觸發這個漏洞,當使用imagecreatefromgif或imagecreatefromstring PHP函數時,導致程式陷入無窮迴圈。
漏洞解決方案:
升級到 PHP 版本 5.6.33 下載並套用更新:http://www.php.net/releases/
升級到 PHP 版本 7.0.27 下載並套用更新:http://www.php.net/releases/
升級到 PHP 版本 7.1.13 下載並套用更新:http://www.php.net/releases/
升級到 PHP 版本 7.2.1 下載並套用更新:http://www.php.net/releases/
描述:ap_escape_quotes() may write beyond the end of a buffer when given malicious input. No included modules pass untrusted data to these functions, but third-party / external modules may. This issue affects Apache HTTP Server 2.4.48 and earlier
漏洞解決方案:
Apache HTTPD >= 2.4 and < 2.4.48 Download and apply the upgrade from: http://archive.apache.org/dist/httpd/httpd-2.4.48.tar.gz Many platforms and distributions provide pre-built binary packages for Apache HTTP server. These pre-built packages are usually customized and optimized for a particular distribution, therefore we recommend that you use the packages if they are available for your operating system
描述:ap_escape_quotes() may write beyond the end of a buffer when given malicious input. No included modules pass untrusted data to these functions, but third-party / external modules may. This issue affects Apache HTTP Server 2.4.48 and earlier.
漏洞解決方案:
Apache HTTPD >= 2.4 and < 2.4.49 Download and apply the upgrade from: http://archive.apache.org/dist/httpd/httpd-2.4.49.tar.gz Many platforms and distributions provide pre-built binary packages for Apache HTTP server. These pre-built packages are usually customized and optimized for a particular distribution, therefore we recommend that you use the packages if they are available for your operating system.
Page updated
Report abuse