5月10號報道的PHP multipart/form-data 遠程DOS漏洞

目前創(chuàng)新互聯(lián)建站已為1000多家的企業(yè)提供了網(wǎng)站建設、域名、雅安服務器托管、網(wǎng)站托管、企業(yè)網(wǎng)站設計、沅陵網(wǎng)站維護等服務，公司將堅持客戶導向、應用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

昨天開發(fā)人員發(fā)現(xiàn)了，讓我修復下。

這次漏洞是針對所有版本的。修復辦法有2個，一個是升級最新版本，一個是打patch補丁。

線上PHP版本是php 5.5.22，升級版本有點風險，所以選擇第2種方案。

官網(wǎng)半天沒有找到22的版本

只找到了25的版本

鏈接如下:

https://bugs.php.net/bug.php?id=69364

點擊 patch-5.4 下載patch補丁

這里介紹一個網(wǎng)站，檢測multipart/form-data漏洞的

http://sec.baidu.com/index.php?phpdos

我首先檢測了下，提示存在漏洞

將補丁文件patch-5.4.patch.txt放到root目錄

停止Nginx和php-fpm

/etc/init.d/php-fpm stop

/usr/local/nginx/sbin/nginx -s stop

進入php編譯目錄

cd /usr/src/php-5.5.22/

打補丁

patch -p1 < /root/patch-5.4.patch.txt

重新編譯

make && make install

啟動Nginx和php-fpm

/etc/init.d/php-fpm start

/usr/local/nginx/sbin/nginx -s start

在一下網(wǎng)址再次檢測

http://sec.baidu.com/index.php?phpdos

提示不存在漏洞