PHP Core 安全审计结果公布
PHP Foundation 公布了针对 PHP 源代码的安全审计结果。审计由 Quarkslab 团队执行,历时两个月,重点关注关键组件。审计发现了 27 个问题,其中 17 个涉及安全,包括 3 个高危漏洞,并获得了 CVE 标识符。PHP 开发团队已修复所有问题,建议用户升级到最新版本。文章感谢了参与审计的个人和组织,并强调了持续改进 PHP 安全性的承诺。
PHP Core Security Audit Results
发布于 2025 年 4 月 10 日,作者:Roman Pronskiy
The PHP Foundation 很高兴地宣布,由 Sovereign Tech Agency 委托进行的 PHP 源代码 (php/php-src) 的全面安全审计已经完成。
本次活动与 Open Source Technology Improvement Fund (OSTIF) 合作组织,并由著名的安全团队 Quarkslab 执行。
审计概述
本次审计于 2024 年进行了两个月,内容包括:
- 针对 php-src 开发的威胁模型
- 手动代码审查
- 动态测试程序
- 密码学评估
Quarkslab 的审计员和 PHP 维护者之间的合作确保了对代码库的全面检查。
⚠️ 由于预算限制,最近的安全审计侧重于 PHP 源代码中最关键的组件,而不是整个代码库。 欢迎有兴趣赞助全面审计或额外评估的组织与我们联系!⚠️
主要发现
本次审计发现了 27 个问题,其中 17 个涉及安全问题:
- 3 个高危漏洞
- 5 个中危漏洞
- 9 个低危漏洞
此外,还报告了 10 个信息性发现。
值得注意的是,四个漏洞收到了 CVE 标识符:
- CVE-2024-9026: PHP-FPM 中的日志篡改漏洞,允许潜在地操作或删除日志消息中的字符。
- CVE-2024-8925: PHP 的 multipart 表单数据解析中的缺陷,可能导致数据误解。
- CVE-2024-8928: PHP 过滤器处理中的内存相关漏洞,导致段错误。
- CVE-2024-8929: 恶意 MySQL 服务器可能导致客户端泄露来自其他 SQL 请求的堆内容的问题。
建议和解决方案
Quarkslab 的报告赞扬了 php/php-src 项目的总体高质量和规范一致性。
PHP 开发团队已经解决了所有已发现的问题。 强烈建议用户升级到最新的 PHP 版本,以从这些安全增强功能中受益。
致谢
我们对使本次审计成为可能的个人和组织表示感谢:
- **The PHP Foundation 团队和 PHP 维护者:**Jakub Zelenka, Arnaud Le Blanc, Niels Dossche, Ilija Tovilo, Stas Malyshev, Dmitry Stogov, Derick Rethans, 和 Roman Pronskiy。
- **Quarkslab 团队:**Angèle Bossuat, Julio Loayza Meneses, Mihail Kirov, Sebastien Rolland, Ramtine Tofighi Shirazi.
- **Sovereign Tech Agency:**Abigail Garner 和团队 - 感谢委托审计以及所有帮助。
- **OSTIF:**Amir Montazery, Derek Zimmer, Helen Woeste – 感谢组织本次合作。
本次审计强调了我们致力于增强 PHP 的安全性和可靠性。 我们将继续致力于持续改进和合作,以确保 PHP 对全球开发社区的健壮性。
进一步阅读
如果您的公司有兴趣委托进行新一轮的安全审计,请联系 The PHP Foundation 团队:contact@thephp.foundation。
🐘💜