客户端站点的安全扫描标记了这样一个事实:由于它们运行的是PHP 5.3.3,因此很容易受到CVE-2011-1092(在5.3.6及更高版本中修复)的攻击。</ p>
通常我会说backporting会解决这个问题,因为他们的PHP多年来已经向后移植到5.3.27,但是在更新日志中没有迹象表明这个特定的CVE已被解决。
查看https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-1092和https://access.redhat.com/security/cve/CVE-2011-1092表明此问题尚未在RHEL和Centos附带的PHP版本中解决,因为RHEL不认为这是一个安全问题。
让客户陷入两难境地 - 他们的PCI DSS合规扫描公司(Trustwave)不会接受RHEL的声明“这不是安全问题”,并说“访问[链接到上面的RHEL页面]似乎表明RedHat没有解决CVE-2011-1092。由于这一发现影响了PCI DSS合规性,因此需要确认它已经以某种方式得到解决。“
有人有任何建议如何继续吗?是否可以通过以某种方式修补文件来直接解决问题?
提前致谢,任何建议。
答案 0 :(得分:0)
此漏洞仅影响函数shmop_read()。你有可能disable functions in the php.ini;如果你这样做并且没有抛出任何错误,你的代码就不会也不能使用该函数,所以你是安全的。
答案 1 :(得分:0)
这就是PCI-DSS行业的工作方式 - 训练有素的猴子针对应用程序运行自动扫描软件,然后如果变为红色则上下跳跃。试图用猴子推理没有任何有用的功能,因为他们只了解红色和绿色。不要误解我的意思 - 在大多数这些工具中编写代码的人非常聪明 - 但他们不是你必须处理的人。不幸的是,猴子被赋予了很大的力量。问题的存在并不意味着该问题是可利用的。
对猴子的公平,NIST put the risk as 'high'。但我同意Redhat - 可以被利用的唯一方法是有权访问php代码的人,或者如果你将用户提供的值直接传递给低级函数。
如果我在你的鞋子里,那么我要做的第一件事就是检查代码是否完全使用共享内存 - 如果没有将相关功能添加到php.ini中的disable_functions设置中。虽然证明该错误无法被攻击者利用并且启用该功能并且在代码中使用是很困难的,但是如果该功能无法访问,则可以证明该错误无法被利用。当然,这是否能安抚猴子是另一回事。