▲圖:未調(diào)用libxml_disable_entity_loader函數(shù)成漏洞關(guān)鍵
這一情況導(dǎo)致當(dāng)WEB應(yīng)用程序使用Zend_XmlRpc_Server類(ZendXmlRpcServer.php)處理XMLRPC請求時����,可能泄露遠(yuǎn)程服務(wù)器的任意文件��。黑客利用該漏洞�����,可以讀取使用Zend框架系統(tǒng)的任意文件�����,包括數(shù)據(jù)庫賬號密碼���,進(jìn)而對整個網(wǎng)站內(nèi)容進(jìn)行修改��,甚至直接盜取 PHP源代碼�����。
鑒于該漏洞影響廣泛�,且有可能造成網(wǎng)站源代碼泄露等致命危害�,360網(wǎng)站安全檢測平臺在第一時間向旗下用戶發(fā)送了告警郵件��,強(qiáng)烈建議升級Zend框架至最新版本(如Magento系統(tǒng))���,并定期使用360安全檢測服務(wù)隨時監(jiān)控網(wǎng)站安全狀態(tài)�����。
Zend框架最新版本升級地址:http://framework.zend.com/download/latest
Magento官方升級包補(bǔ)丁下載地址:http://www.magentocommerce.com/blog/comments/important-security-update-zend-platform-vulnerability
360網(wǎng)站安全檢測平臺是國內(nèi)首個集網(wǎng)站漏洞檢測��、網(wǎng)站掛馬監(jiān)控����、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測平臺����,擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng)�����,能夠第一時間協(xié)助網(wǎng)站檢測修復(fù)漏洞���。2011年,360網(wǎng)站安全檢測平臺曾協(xié)同360團(tuán)購導(dǎo)航���,為國內(nèi)數(shù)百家主流團(tuán)購網(wǎng)站提供了免費(fèi)網(wǎng)站漏洞檢測服務(wù)并提供修復(fù)建議�����,提高了團(tuán)購網(wǎng)站整體安全水平�。
