鈊保資訊有限公司

近期有關於PHP的資安風險通報(CVE-2024-4577)，經過排查PIDS並沒有在攻擊風險的情境(如圖一、如圖二)當中，因此PIDS並不需要透過補丁進行修補，後續還是會建議陸續將PHP與apache的版本透過維護進行升版。

【圖片一、將 PHP 設定於 CGI 模式下執行狀況】圖片來源↓

【圖片二、將 PHP 執行檔暴露在外 (XAMPP 預設安裝設定)】圖片來源↓

※ 情境一

檢查apache的設定檔「httpd.conf」與「httpd-ssl.conf」並沒有透過 Action 語法將對應的 HTTP 請求交給 PHP-CGI 執行檔處理。

※ 情境二

檢查PHP執行檔並沒有暴露在CGI的目錄下

PIDS個資盤點

---

聯絡我們免費試用 免費試用