PHP技术大全
上图来自 twitter 上的新鲜事
我们打开上述的网址:https://www.php.net/archive/2020.php#2020-01-23-3
基本都是一个意思:PHP开发团队宣布了 PHP 7.x.y 即时可用性(就是现在可以用了)。这是一个包含几个 bug 修复的安全发行版。所有的 PHP 7.x 用户都被鼓励更新到这个版本。PHP7.x.y 的源码下载请访问我们的下载页面,windows 源码和二进制包在 http://windows.php.net/download/ 。变更记录列表被记录在 changelog 里面。
打开 PHP 7.4.2 的 changelog 网址:http://www.php.net/ChangeLog-7.php#7.2.27,我们找到了 2 个 CVE 安全漏洞的更新。
代码语言:javascript复制# CVE-2020-7060
Mbstring:
Fixed bug #79037 (global buffer-overflow in `mbfl_filt_conv_big5_wchar`). (CVE-2020-7060)
# CVE-2020-7059
Standard:
Fixed bug #79099 (OOB read in php_strip_tags_ex). (CVE-2020-7059)上面 2 个安全漏洞的修复就是这次更新的主要内容,有兴趣的 PHPer 玩家可以继续探索一下上述 CVE 漏洞的触发条件,以便更好地规避。当然咯,你要是能把漏洞利用起来,那只能说算你狠了。
