【已回应】PHP libgd 拒绝服务漏洞

漏洞描述
PHP GD 库在处理 GIF 文件的时候存在一个 DoS 漏洞，会导致 PHP 处理图片时死循环占用 CPU。具体详情及验证 PoC 请访问参考链接。

这个漏洞有必要修复吗？还是升级PHP解决？

修复方案
1. Ubuntu、CentOS 官方暂未放出 Security Release，可以通过源码编译的方式升级版本。不受影响的版本为：5.6.33、7.0.27、7.1.13、7.2.1。
2. 如业务不需要 GD 库，则删除 GD 库扩展。

倾心丨WHY · 发表于 2019-12-9 13:31:02

升级PHP到最新版本应该就没问题了啊，我全部环境一直都是提示升级就升级的

大炮运维V587 · 发表于 2019-12-9 15:59:55

您好，这个漏洞是2018年出的，现在马上2020年，我们紧跟php官方的更新版本进行更新的。非常感谢您的反馈！

sandyy · 发表于 2019-12-10 12:46:42

大炮运维V587 发表于 2019-12-9 15:59
您好，这个漏洞是2018年出的，现在马上2020年，我们紧跟php官方的更新版本进行更新的。非常感谢您的反馈！
...

你好，我现在使用的是PHP5.4，依然还存在这个漏洞。

大炮运维V587 · 发表于 2019-12-10 14:30:46

sandyy 发表于 2019-12-10 12:46
你好，我现在使用的是PHP5.4，依然还存在这个漏洞。

php官方都不修复这个版本了。

Xeath · 发表于 2019-12-10 14:43:31

sandyy 发表于 2019-12-10 12:46
你好，我现在使用的是PHP5.4，依然还存在这个漏洞。

php 5.4 仅需要做一些小修改即可兼容 php 5.6，如果升级 php 7 请先确认程序是否完全兼容

sandyy · 发表于 2019-12-10 17:35:45

大炮运维V587 发表于 2019-12-10 14:30
php官方都不修复这个版本了。

是否有必要升级到5.6？

大炮运维V587 · 发表于 2019-12-10 18:02:42

sandyy 发表于 2019-12-10 17:35
是否有必要升级到5.6？

看你自己了。

sandyy · 发表于 2019-12-10 21:41:56

大炮运维V587 发表于 2019-12-10 18:02
看你自己了。

我如果要使用PHP5.6的话，是不是先卸载PHP5.4，然后在安装PHP5.6？

sandyy · 发表于 2019-12-20 12:18:23

大炮运维V587 发表于 2019-12-10 18:02
看你自己了。

我如果要使用PHP5.6的话，是不是先卸载PHP5.4，然后在安装PHP5.6？

大炮运维V587 · 发表于 2019-12-20 15:25:38

sandyy 发表于 2019-12-20 12:18
我如果要使用PHP5.6的话，是不是先卸载PHP5.4，然后在安装PHP5.6？

不用，php是可以多版本共存的

█ 菠萝云-主机特惠16G内存100元 █	【阿里云】低至5折	APP分发-无行业限制免审核	16核16G高防189元	【多途云】高防CDN
高防服务器，无视一切流量攻击	【恒爱云】香港2核1G 3M 15元/起	香港站群金牌Gold 6138大促销	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
█ 易探云·香港/美国vps仅9元 █	CDN无视各类攻击\|无效退款	OV/EV SSL证书，可当日签发	【云防护】专注域名和网站安全防护	AWS CDN 4分，多家公有云代理