在windows使用XAMPP架設PHP 站點的要小心了

更新於 發佈於 閱讀時間約 2 分鐘


最近PHP發佈了一個重大漏洞。這個漏洞是由戴夫寇爾研究團隊發現的,他們在進行前瞻攻擊研究期間,發現了PHP程式語言在Windows作業系統上的遠端程式碼執行弱點。這讓我非常驚訝,因為PHP在網站開發中使用非常廣泛,而這個漏洞的存在對我們這些開發者來說是一個很大的威脅。


漏洞描述

根據文章內容,這個漏洞是因為PHP在設計時忽略了Windows作業系統內部對字元編碼轉換的Best-Fit特性,導致未認證的攻擊者可以透過特定的字元序列繞過舊有的CVE-2012-1823保護,並且可以在遠端PHP伺服器上執行任意程式碼。這對於我們這些使用Windows作業系統並搭建PHP環境的開發者來說,是一個非常嚴重的問題。


影響範圍

這個弱點影響了所有安裝於Windows作業系統上的PHP版本,包括但不限於:

  • PHP 8.3 < 8.3.8
  • PHP 8.2 < 8.2.20
  • PHP 8.1 < 8.1.29

由於PHP 8.0分支、PHP 7以及PHP 5官方已不再維護,我們需要特別注意自己的版本是否在影響範圍內。


如何確認自己易遭受攻擊?

對於使用Apache HTTP Server加上PHP組合的網站管理員,文章列出了兩個方式確認伺服器是否易被攻擊。其中情境二也是XAMPP for Windows安裝時的預設設定,這意味著所有版本的XAMPP for Windows安裝也預設受此弱點影響。尤其是在繁體中文、簡體中文及日文語系的Windows作業系統上,這個漏洞更容易被利用。



修補建議

強烈建議所有使用者升級至PHP官方最新版本(8.3.8、8.2.20與8.1.29)。對於無法升級的系統,可以透過下列方式暫時緩解弱點:

  1. 對無法更新PHP的使用者,可以透過Rewrite規則阻擋攻擊。
  2. 對XAMPP for Windows使用者,可以透過修改Apache Httpd設定檔避免暴露在弱點中。

例如,將 C:/xampp/apache/conf/extra/httpd-xampp.conf 中的 ScriptAlias /php-cgi/ "C:/xampp/php/" 註解掉即可。


作為一名PHP開發者,看到這樣的資安問題,確實讓人感到有些擔憂。不過,幸運的是,研究團隊已經在第一時間回報給PHP官方並且發佈了修復版本。如果有相同或是類似環境,希望大家都能夠盡快更新自己的PHP版本,保證系統的安全。


原文-戴夫寇爾官方BLOG:

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/


留言
avatar-img
留言分享你的想法!
avatar-img
詹姆士的軟體易開罐
27會員
88內容數
這是一系列以軟體開發為主題的輕鬆分享,內容涵蓋了技術選擇、開發經驗、實戰應用等多方面的議題。無論是如何在眾多框架中做出選擇,還是如何應對技術轉移的挑戰,這裡有幽默、有趣的對話風格,將複雜的技術問題轉化為易懂的故事。
2024/07/20
2024年7月19日…,一場前所未有的全球性大事件悄然降臨。這次事件波及了機場、車站,以及無數依賴關鍵系統的商店與公司。聽起來像是科幻小說中的場景,然而,這真真切切地發生在昨天。世界各地的運營陷入混亂,人們的生活被突如其來的技術故障打亂。 這一切都要從一間公司開始說起——CrowdStrike
Thumbnail
2024/07/20
2024年7月19日…,一場前所未有的全球性大事件悄然降臨。這次事件波及了機場、車站,以及無數依賴關鍵系統的商店與公司。聽起來像是科幻小說中的場景,然而,這真真切切地發生在昨天。世界各地的運營陷入混亂,人們的生活被突如其來的技術故障打亂。 這一切都要從一間公司開始說起——CrowdStrike
Thumbnail
2024/05/28
DevOpsDays Taipei 2024將於台北南港的 POPOP Taipei 舉行!活動將匯集頂尖 DevOps 專家,提供豐富的 40 分鐘演講、25 分鐘主題分享和 90 分鐘實戰工作坊。其中包含AIOps、CI/CD、DevSecOps 等,還有場邊活動讓你拓展人脈,不容錯過的技術盛會
Thumbnail
2024/05/28
DevOpsDays Taipei 2024將於台北南港的 POPOP Taipei 舉行!活動將匯集頂尖 DevOps 專家,提供豐富的 40 分鐘演講、25 分鐘主題分享和 90 分鐘實戰工作坊。其中包含AIOps、CI/CD、DevSecOps 等,還有場邊活動讓你拓展人脈,不容錯過的技術盛會
Thumbnail
2024/05/28
【HITCON Cyber Range 2024 開放報名】 企業資安高手們注意!HITCON Cyber Range 2024 正式開放報名,這場專為企業藍隊設計的競賽,模擬網路攻擊情境,參賽隊伍需迅速響應,提升資安防禦能力。資格賽將於2024年7月26日線上舉行。立即報名,挑戰最強藍隊稱號!
Thumbnail
2024/05/28
【HITCON Cyber Range 2024 開放報名】 企業資安高手們注意!HITCON Cyber Range 2024 正式開放報名,這場專為企業藍隊設計的競賽,模擬網路攻擊情境,參賽隊伍需迅速響應,提升資安防禦能力。資格賽將於2024年7月26日線上舉行。立即報名,挑戰最強藍隊稱號!
Thumbnail
看更多
你可能也想看
Thumbnail
2025 vocus 推出最受矚目的活動之一——《開箱你的美好生活》,我們跟著創作者一起「開箱」各種故事、景點、餐廳、超值好物⋯⋯甚至那些讓人會心一笑的生活小廢物;這次活動不僅送出了許多獎勵,也反映了「內容有價」——創作不只是分享、紀錄,也能用各種不同形式變現、帶來實際收入。
Thumbnail
2025 vocus 推出最受矚目的活動之一——《開箱你的美好生活》,我們跟著創作者一起「開箱」各種故事、景點、餐廳、超值好物⋯⋯甚至那些讓人會心一笑的生活小廢物;這次活動不僅送出了許多獎勵,也反映了「內容有價」——創作不只是分享、紀錄,也能用各種不同形式變現、帶來實際收入。
Thumbnail
嗨!歡迎來到 vocus vocus 方格子是台灣最大的內容創作與知識變現平台,並且計畫持續拓展東南亞等等國際市場。我們致力於打造讓創作者能夠自由發表、累積影響力並獲得實質收益的創作生態圈!「創作至上」是我們的核心價值,我們致力於透過平台功能與服務,賦予創作者更多的可能。 vocus 平台匯聚了
Thumbnail
嗨!歡迎來到 vocus vocus 方格子是台灣最大的內容創作與知識變現平台,並且計畫持續拓展東南亞等等國際市場。我們致力於打造讓創作者能夠自由發表、累積影響力並獲得實質收益的創作生態圈!「創作至上」是我們的核心價值,我們致力於透過平台功能與服務,賦予創作者更多的可能。 vocus 平台匯聚了
Thumbnail
在本章節中,我們探討了 PHP 中如何引用和管理套件。學習了如何使用 Composer 來安裝第三方套件,以及如何引用自定義模組。此外,我們還介紹了如何創建和使用自定義套件,並列舉了一些在 PHP 社群中常見且廣泛使用的套件和庫。通過掌握這些知識,開發者可以更有效地管理和利用各種資源。
Thumbnail
在本章節中,我們探討了 PHP 中如何引用和管理套件。學習了如何使用 Composer 來安裝第三方套件,以及如何引用自定義模組。此外,我們還介紹了如何創建和使用自定義套件,並列舉了一些在 PHP 社群中常見且廣泛使用的套件和庫。通過掌握這些知識,開發者可以更有效地管理和利用各種資源。
Thumbnail
本章節旨在介紹如何在不同操作系統上安裝和配置PHP環境,並使用命令行工具進行基礎操作。此外,還介紹了使用Visual Studio Code進行PHP開發的步驟,包括安裝擴展和設置調試環境。
Thumbnail
本章節旨在介紹如何在不同操作系統上安裝和配置PHP環境,並使用命令行工具進行基礎操作。此外,還介紹了使用Visual Studio Code進行PHP開發的步驟,包括安裝擴展和設置調試環境。
Thumbnail
在本節中,我們介紹了PHP的基本語法,包括如何在HTML中嵌入PHP代碼,PHP腳本的執行順序,以及多種註解方式。我們還學習了如何定義和使用變數,包括單個變數和多個變數的賦值方法。這些基礎知識將幫助你開始使用PHP進行Web開發。
Thumbnail
在本節中,我們介紹了PHP的基本語法,包括如何在HTML中嵌入PHP代碼,PHP腳本的執行順序,以及多種註解方式。我們還學習了如何定義和使用變數,包括單個變數和多個變數的賦值方法。這些基礎知識將幫助你開始使用PHP進行Web開發。
Thumbnail
這個章節介紹了PHP的基本特性和應用領域,並且列舉了使用PHP的知名公司和網站。了解PHP的簡單易學、跨平台、嵌入HTML等特性,以及PHP在動態網站、電子商務、內容管理系統、社交媒體平台、數據庫管理和API開發中的應用。
Thumbnail
這個章節介紹了PHP的基本特性和應用領域,並且列舉了使用PHP的知名公司和網站。了解PHP的簡單易學、跨平台、嵌入HTML等特性,以及PHP在動態網站、電子商務、內容管理系統、社交媒體平台、數據庫管理和API開發中的應用。
Thumbnail
介紹工作後幾個常見的小問題,包括寫 Log 的好習慣、本地印出錯誤或過程、PHPCS 工具、變數儲存於設定檔、避免魔術數字、程式碼靜態分析與動態分析。
Thumbnail
介紹工作後幾個常見的小問題,包括寫 Log 的好習慣、本地印出錯誤或過程、PHPCS 工具、變數儲存於設定檔、避免魔術數字、程式碼靜態分析與動態分析。
Thumbnail
戴夫寇爾研究團隊發現PHP在Windows系統上存在遠端程式碼執行漏洞,影響多個PHP版本,包括XAMPP預設安裝環境。漏洞源於字元編碼轉換的問題,允許攻擊者在遠端伺服器上執行任意程式碼。建議使用者立即升級至最新PHP版本,或採取臨時緩解措施。
Thumbnail
戴夫寇爾研究團隊發現PHP在Windows系統上存在遠端程式碼執行漏洞,影響多個PHP版本,包括XAMPP預設安裝環境。漏洞源於字元編碼轉換的問題,允許攻擊者在遠端伺服器上執行任意程式碼。建議使用者立即升級至最新PHP版本,或採取臨時緩解措施。
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News