【51CTO快訊】前日有信息顯示當(dāng)前包括PHP、Java、Ruby在內(nèi)的很多語言版本存在漏洞，PHP官方開發(fā)組成員Laruence（新浪微博）表示攻擊者可以通過構(gòu)造Hash沖突實(shí)現(xiàn)拒絕服務(wù)攻擊，并提供了實(shí)例。這個(gè)攻擊方法危害很高，攻擊成本也很小，一個(gè)臺(tái)式機(jī)可以輕松搞垮數(shù)十臺(tái)、上百臺(tái)服務(wù)器。

此漏洞一出，相當(dāng)于隨便一個(gè)攻擊者就可以DDoS掉世界上的大部分網(wǎng)站！危害等級(jí)絕對(duì)是核彈級(jí)別。因此，PHP官方開發(fā)組緊急發(fā)布了補(bǔ)丁，請(qǐng)大家盡速修補(bǔ)。

PHP方面，<= 5.3.8, <= 5.4.0RC3的所有版本均會(huì)受此漏洞影響。PHP 5.3.9和PHP 5.4.0已經(jīng)包含了針對(duì)此漏洞的補(bǔ)丁，但由于兩個(gè)版本目前仍然在RC狀態(tài)，無法用于生產(chǎn)服務(wù)器升級(jí)。至于PHP 5.2，官方開發(fā)組表示不會(huì)為了這個(gè)漏洞發(fā)布新版。

官方目前提供的解決方案是給自己的PHP環(huán)境打一個(gè)Patch，5.2和5.3都可以使用。Patch地址如下：

https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars

使用方法：

1. cd 到 php src，運(yùn)行： patch -p1 < php-5.2.*-max-input-vars.patch
2. 最新的 PHP 5.3.9-RC4 已經(jīng)修復(fù)了本漏洞，5.3 的用戶可以直接升級(jí)到 5.3.9-RC4 。
   當(dāng)然，如果您不想更新到一個(gè)RC版本，那么也可以很簡(jiǎn)單的修改上面這個(gè)補(bǔ)丁，應(yīng)用到 5.3 的相應(yīng)版本上。

Laruence還建議其他語言java, ruby等，請(qǐng)各位也預(yù)先想好對(duì)策，限制post_size是治標(biāo)不治本的方法，不過可以用來做臨時(shí)解決方案。

臨時(shí)解決方案參考：五四陳科學(xué)院

此外，微軟也已經(jīng)緊急發(fā)布了更新，修復(fù)了ASP.net上的該漏洞：

http://netsecurity.51cto.com/art/201112/310628.htm

查詢清單

目前已知的受影響的語言以及版本有::

• Java, 所有版本
• JRuby <= 1.6.5
• PHP <= 5.3.8, <= 5.4.0RC3
• Python, 所有版本
• Rubinius, 所有版本
• Ruby <= 1.8.7-p356
• Apache Geronimo, 所有版本
• Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22
• Oracle Glassfish <= 3.1.1
• Jetty, 所有版本
• Plone, 所有版本
• Rack, 所有版本
• V8 JavaScript Engine, 所有版本

不受此影響的語言或者修復(fù)版本的語言有::

• PHP >= 5.3.9, >= 5.4.0RC4
• JRuby >= 1.6.5.1
• Ruby >= 1.8.7-p357, 1.9.x
• Apache Tomcat >= 5.5.35, >= 6.0.35, >= 7.0.23
• Oracle Glassfish, N/A (Oracle reports that the issue is fixed in the main codeline and scheduled for a future CPU)
• CVE: CVE-2011-4885 (PHP), CVE-2011-4461 (Jetty), CVE-2011-4838 (JRuby), CVE-2011-4462 (Plone), CVE-2011-4815 (Ruby)

（以上內(nèi)容來自 http://www.ocert.org/advisories/ocert-2011-003.html ）

參考：

1. PHP5.2.*防止Hash沖突拒絕服務(wù)攻擊的Patch
2. Supercolliding a PHP array
3. 升級(jí)服務(wù)器前必須考慮的十件事情

感謝崔曉輝提供本線索。