网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于PHP堆栈缓冲区溢出漏洞(CVE-2023-3824)的安全预警

日期:2023-08-29阅读:

关于PHP堆栈缓冲区溢出漏洞(CVE-2023-3824)的安全预警

一、 基本情况

PHP是一门通用开源脚本语言,其语法借鉴吸收CJavaPerl等流行计算机语言的特点,因此利于学习,使用广泛,主要适用于Web开发领域。

二、 漏洞描述

PHP多个受影响版本中,phar_dir_read()中的缓冲区管理不善可能导致缓冲区溢出和过度读取。当加载恶意phar文件时,在读取phar目录项时,长度检查不足可能导致堆栈缓冲区溢出,从而可能导致内存损坏或远程代码执行。

三、 影响范围

8.0.0<= PHP版本< 8.0.30

8.1.0<= PHP版本<8.1.22

8.2.0<= PHP版本<8.2.8

四、 修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

PHP 8.0.X版本:>=8.0.30

PHP 8.1.X版本:>=8.1.22

PHP 8.2.X版本:>=8.2.8

下载链接:

https://github.com/php/php-src/tags

五、 参考链接

https://github.com/php/php-src/security/advisories/GHSA-jqcx-ccgc-xwhv

https://nvd.nist.gov/vuln/detail/CVE-2023-3824

https://www.venustech.com.cn/new_type/aqtg/20230825/26140.html

我是盾盾