聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

如果你在使用PHP，检查下是否是最新版本 8.1.3。上周，PHP 发布该版本，修复了多个内存管理不当漏洞，其中一个漏洞是 CVE-2021-21708，是函数 php_filter_float() 中的一个释放后使用漏洞。

目前，PHP 8.0和7.4 仍然受支持且易受攻击。如用户使用的并非最新的8.1 版本，则需要分别升级至 8.0.16和7.4.28 版本。

基于使用PHP查询数据库的 PoC exploit ，该漏洞可用于使 PHP 进程崩溃，很可能导致DoS 攻击。当然，和往常一样，Mozilla 在安全更新中指出，修复具有内存损坏证据的漏洞后，应该“假设某些漏洞本可被用于执行任意代码”。

远程代码执行 (RCE) 即从外部提交的数据不仅可以导致计算机上的程序崩溃，还可能在该进程中获得控制权，通常会导致网络入侵、数据提取、恶意软件植入等等。

无效的验证代码

具有讽刺意味的是，PHP 过滤函数旨在验证导入的数据，如确保有人发送的整数（如5、7、11）并非无法被可靠地转为整数（如3.14159或3/16 inch）的文本字符串。

CVE-2021-21708 是负责检查有效浮点数的代码的一部分。PHP 的数字过滤函数使用户不仅可检查导入的数据是合法的，而且还检查它位于某个特定范围如确保其不大于2.71828或介于-1和1之间。如果导入数字已经是浮点数，则如下代码所示，PHP的旧版本代码（8.1.2）位于左侧，新版本代码 (8.1.3) 位于右侧（此处无bug，因此两个版本是相似的）。不了解C语言也没关系，需要注意的点是首先完成错误检查，之后是一行代码以释放PHP当前使用的内存以存储该数字，接着立即又是一行代码为PHP重新分配内存供使用。Zval_ptr_dtor() 是PHP 内部内存指针析构函数的简称。

如果导入的数字是一个整数，没有小数点后面的部分，则所用代码应该略有不同。

如下所示，旧版本中的顺序“执行检查，如失败则推出；但如成功，则为数字取消分配并重新分配存储空间”是混合的，其顺序是“取消该PHP值使用的内存分配，然后执行检查，如失败则退出，留下的指向内存的PHP对象不久将被分配到其它地方，之后将引发释放后使用问题；但如果检查成功，则为该数字重新分配新的存储空间。”这就像先走到路上，之后才检查路面是否安全再完成过路动作。新版本代码已将检查路面是否安全放在首位，之后再上路并直接走到对面。

由Visual Studio Code 的“diff”视图展现了8.1.2版本中标记的红色部分被转移到8.1.3版本的绿色部分。

如何解决

• 如果你是PHP用户，则更新至8.1.3版本。如尚未更新至PHP 8.1版本，则更新至更早的两个分支版本：8.0版本需升级至8.0.16，7.4版本需升级至7.4.28版本。如使用Linux 发行版本管理PHP，则查看各发行版本获取详情。

• 如为程序员，则需要注意用C编写的代码要求一直注意随处的内存，因此隐藏良好的像本文提到的漏洞不会潜入。

• 如为程序员，则尝试编写代码时减少在你之后的编程人员带来的错误数量。

推荐阅读

PHP Everywhere 插件中存在严重RCE，影响数千个 WordPress 站点

漏洞10年深藏不露，PHP 项目依赖关系管理工具Composer安全吗？

PHP Composer 新漏洞可引发大规模供应链攻击

PHP源代码后门事件后续：用户数据库遭泄露或是元凶

详细分析PHP源代码后门事件及其供应链安全启示

原文链接

https://nakedsecurity.sophos.com/2022/02/18/irony-alert-php-fixes-security-flaw-in-input-validation-code/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~