【日经BP社报道】美国当地时间7月22日，美国CERT/CC等宣布在PHP的4.2.0版与4.2.1版上存在安全漏洞。PHP是指HTML文件内记述类型的脚本语言及其运行环境。向运行PHP 4.2.0/4.2.1的Web服务器上发送某种特殊请求时，会使Web服务器停止工作，或在服务器上运行任意代码。防范措施是升级到4.2.2版及使用补丁等。

　　PHP是可以简单制作与数据库配合运行的Web应用的脚本语言及其运行环境，目前广泛应用于各类Web服务器中。尤其是Apache服务器提供有PHP模块，因此以“Apache＋PHP”组合运行的Web服务器非常多。

　　此次发现在PHP 4.2.0/4.2.1中，处理向Web服务器上传数据的部分出现了问题。因此，如果向PHP(Web服务器)发送做过某种手脚的POST请求，服务器就无法妥善处理这一请求，PHP或者Web服务器的处理就会出现系统故障，甚至可能会在服务器上运行任意代码。不过，据说在x86(IA32)平台上，不必担心会运行任意代码。

　　由于使用HTTP的POST请求，因此服务器很容易受到远程攻击。对于公用Web服务器而言，即使使用防火墙等安全措施也无法抵御攻击。另外，如果不特意更改PHP设置也会受到影响。

　　防范措施是升级到最新版的4.2.2版，或是使用补丁。4.2.2版及补丁均已在The PHP Group的站点上公开，为了缓解服务器负荷，建议从镜像站点下载。

　　在无法立即升级的情况下，需要改变Web服务器的设置，拒绝POST请求。对于Apache，需更改设置文件“.htaccess”(具体方法请参见CERT/CC的信息)。当然，通过停止PHP服务也能避免受到损害。

　　尽管受此次发现的安全漏洞影响的是4.2.0版及4.2.1版，但在从3.0.10至3..0.18版、4.0.1至4.1.1版中也发现了安全漏洞，因此必须提高警惕。所有安全漏洞均由德国e-matters的Stefan Esser发现。

　　由于此次发现的安全漏洞非常严重，因此Web服务器管理员务必迅速采取防范措施。　

   热力推荐：摩托罗拉 三星 三菱 松下手机图片专区，最炫、最酷、最流行！
      新浪手机图片每天增加上百幅，下载最新图片送数码相机钻戒！