关于PHP漏洞修复

Posted 2023-04-26

php漏洞修复的问题。我们用的php是5.6版本的，之前修复漏洞一直都是用升级php的方式，可是5.6版本今年一月发布了5.6.30之后就在没更新了，现在用绿盟检测了好几个高危漏洞，急着要修复，但是5.6版本官方还没发新包，由于7.0以上的版本我们研发说框架不适用，暂时只能用5.6的。打听了一下知道5.6已经停止更新新功能，但是还会维护到18年年底。
问题来了，我是只能等官方出新包吗？还是有其他的漏洞修复方法，升到7.0是不可行的了。

因为官方已经停止更新了，是不会出新包的。如果想要修复，只能把自己的版本迭代，升级到php7。物竞天择，只能狠狠心更新版本了，项目可能要大换血追问

也知道停止更新，但是只是不更新功能而已，安全修复还是说会发布，但是已经快半年没发布了。。我们尝试过升级到7，但是代码不兼容，DMZ区的环境一直提示有漏洞不好和领导交代。。。

参考技术A 你具体是什么漏洞？怎么可能用升级php版本来修复漏洞？
首先那些检测漏洞的网站也别太当真，很多都是胡扯，我还遇到过开放80端口也算是高危漏洞的检测咧，按他们说的只有拔掉服务器电源才是最安全的。
另外如果真的有漏洞，那也是程序代码上的漏洞，一般不可能是php版本的漏洞，从来没听过有什么漏洞通过升级php版本就能解决的。
你是不是那这个漏洞当成了windows漏洞一样，打个补丁升个级就修复了，就算是打补丁升级，也是升级你的代码。追问

php自身软件的漏洞不通过升级php来解决难道是我们自行改php的代码来解决？建议您去关注一下php每个版本发布都会说修复了上个版本的什么漏洞的，Windows漏洞可以通过打补丁修复都知道，但是linux上的不一样的。可能是我的问题问得不清楚或者问得不好导致您理解错误了，但是你这不是帮别人回答问题，而是绕到另一个问题上了。怎么样也好，感谢你的回答。

参考技术B 为什么 ，绿盟提示的错误是：只要把PHP版本从7.0.5升到7.1以上的版本就能解决，但我将PHP升级到了7.1，再次用绿盟扫描还是web PHP安全漏洞，这是为什么啊？求解。。。。 参考技术C 请把漏洞贴上来追问

通过绿盟扫描出来的，目前的版本是5.6.30

php反序列化网站漏洞修复指南

php反序列化网站漏洞修复指南

分类专栏： ***测试公司 网站安全漏洞检测 网站漏洞修复
版权
先来说说序列化是什么吧，序列化是将对象的状态信息转换成可以存储或传输的形式的过程。在序列化期间，将对象的当前状态写入临时或永久存储区。稍后，您可以通过从存储区读取或恢复对象的状态重新创建对象。简而言之，序列化是一种将一对象转换为一个字符串的方法，该字符串可以以特定格式在进程之间跨平台传输。

php的反序列化漏洞，php的盲点，也是一个常见的漏洞，这种漏洞充满了一些场景，虽然有些很难调用，但是成功的后果很危险。漏洞形成的根本原因是没有序列识别程序，从而导致序列字符串的检测。反序列化漏洞不仅仅存在于php中，而且还存在于java、python中。基本上是一样的原理。在java反序列化中，调用反序列化的readobject方法isalized，并在不编写readobject方法时引起漏洞。

因此，在开发过程中出现了共同的反序列化漏洞：可以绕过重写对象输入流对象的解析类方法中的检测。使用第三方类的黑名单控件。虽然java比php更加严格，但几乎不可能使用黑名单机制禁用大型应用程序中的所有危险对象。因此，如果在审计过程中发现使用黑名单过滤的代码，那么大多数代码都有一两条可以被利用的代码。而黑名单方法只能确保当前的安全性，如果稍后添加新的特性，可能会引入利用漏洞的新方法。因此黑名单不能保证序列化过程的安全性。事实上，大部分反序列化漏洞是由于使用不安全的基础库造成的。***gabriellawrence和chrisfrohoff于2015年发现的apachecommons集合库，直接影响到大型框架，如weblogic、websphere、jboss、jenkins、opennms。脆弱性的影响直到今天才得到解决，如果大家有无法解决的网站漏洞修复问题可以去看看网站安全公司那边，国内像Sinesafe,绿盟，启明星辰都是网站安全公司解决漏洞问题的。