转  php漏洞   不知道新不新

PHP紧急发布5.3.10修复重要远程执行代码漏洞
近日，PHP 5.3.9被安全人员发现存在严重的安全漏洞，远程攻击者可以直接利用此漏洞执行任意PHP 代码，安全风险非常高。这个漏洞是PHP的普及安全扩展建立者、独立安全顾问Stefan Esser 发现的，并命名为CVE- 2012-0830.该漏洞（CVE-2012-0830） 是由于PHP 官方为解决多语言hash 漏洞（CVE-2011-4885），引入了新机制产生的新的安全漏洞。 目前PHP 官方已经紧急发布了5.3.10版本修复漏洞。
在一月初，SecurityFocus 归类发布了一个设计错误，它偶然引入了一种独立的拒绝服务漏洞。这个漏洞影响了包含PHP、ASP.NET、JAVA、Python 的网页开发平台，它能够被使用在号称“哈希冲突攻击”的攻击行为中。
secunia 公司首席漏洞安全专家Carsten Eiram 表示，这个哈希冲突攻击采用一个新的指令（max_input_vars） 限制服务器可以被接受的回话数量。但是， 鉴于这个php_register_variable_ex（）逻辑上的错误，当所提供参数的数量高于上限的时候，会产生"php_register_ variable_ex（）" 应用在 php_variables.c中类似的问题，是无法被正确处理的。而且这个漏洞如果被攻击者所利用，ＰＨＰ系统将会被远程执行任意ＰＨＰ代码。
目前，这个漏洞攻击程序已经在网上公布，专家建议网络服务器管理员马上升级PHP 5.3.10 版本。