PHP远程DoS漏洞深入分析 及防护方案

T4rk

5月14日，国内爆出php远程DoS漏洞，官方编号69364。利用该漏洞构造poc发起链接，很容易导致目标主机cpu的占用率100%，涉及PHP多个版本。绿盟科技威胁响应中心随即启动应急机制， 应急响应工作随即启动。
15日夜，启动漏洞分析工作，同步将分析结果发送产品团队；
16日，发布产品规则升级通告，绿盟科技RSAS产品升级相继就绪，客户通过在线及离线升级的方法，即可获得漏洞的检测能力；同时，在线漏洞检测引擎就绪；
17日，漏洞深入分析进行中。绿盟科技NIPS产品升级就绪，客户通过在线及离线升级的方法，即可获得漏洞的防护能力；
18日，我们回顾此次PHP漏洞的信息要点，从PHP漏洞防护的角度进行总结，为大家制定防御方案提供补充信息。
如果您需要了解更多信息，请联系：
绿盟科技威胁响应中心微博 ： http://weibo.com/threatresponse
绿盟科技微博： http://weibo.com/nsfocus
绿盟科技微信号：搜索公众号 绿盟科技
PHP远程DoS漏洞

4月3日，有人在PHP官网提交PHP 远程DoS漏洞（PHP Multipart/form-data remote dos Vulnerability），代号69364。由于该漏洞涉及PHP的所有版本，故其影响面较大，一经发布迅速引发多方面关注。14日，各种PoC已经在网络上流传。此次漏洞具备如下特性：
一旦被利用成功，可以在迅速消耗被攻击主机的CPU资源，从而达到DoS的目的；
PHP在全球的部署量相当大，为攻击者提供了相当多可以攻击的目标；
PHP官方目前仅给出了5.4及5.5版本的补丁
受此漏洞影响的软件及系统包括PHP的如下版本。
PHP 5.0.0 – 5.0.5
PHP 5.1.0 – 5.1.6
PHP 5.2.0 – 5.2.17
PHP 5.3.0 – 5.3.29
PHP 5.4.0 – 5.4.40
PHP 5.5.0 – 5.5.24
PHP 5.6.0 – 5.6.8
绿盟科技常年密切关注PHP的安全问题。绿盟科技威胁响应中心在获知相关信息后，随即启动应急机制，相关工作随即启动。本文章将会深入分析该漏洞，并给出应对方案。
PHP远程DoS漏洞分析

2015年5月15日夜，绿盟科技威胁响应中心在获取PHP漏洞传播情况的同时，也在进行漏洞的分析工作，通过重现漏洞的攻击过程，分析其工作原理，得以清晰识别及检测该漏洞方法。
Boundary中的键值对分隔

PHP是一种流行的Web服务器端编程语言，它功能强大，简单易用，利用它编写网络应用程序，可以应对大规模的Http请求，所以很多业务环境中都部署了PHP。考虑规范性，PHP在设计之初就遵循rfc规范，进行各个协议模块的封装及过程处理。PHP与其他同样遵循rfc规范的语言及环境相比，不过是处理方式不同。
而从rfc1867开始，http协议开始支持”multipart/form-data”请求，以便接受多种数据格式，包括多种变量甚至是文件上传。multipart/form-data中可以包含多个报文，每一个报文boundary（分隔符）分隔开来，而每个报文中都包含了多行键值对，键值对用冒号分隔，这样的设计是为了让程序可以清晰的区分这些数据。

fireworld

学习学习技术，加油！

CHRIS

感谢楼主的分享~

Lucifer

还是不错的哦，顶了

Micah

感谢楼主的分享~

cl476874045

还是不错的哦，顶了

fireworld

还是不错的哦，顶了

Jack-5

perble

支持，看起来不错呢！

hehe668

真得不错