php CVE-2022-45307 不升级大版本的情况下有解决方案吗?

1. 运行环境

1). 当前使用的 Laravel 版本?

5.7.29

2). 当前使用的 php/php-fpm 版本?

PHP 版本:7.4.33

3). 当前系统

基于alpine构建

2. 问题描述?

公司和国企有业务往来,代码都私有化部署在国企的服务器上,最近报出漏洞(CVE-2022-45307)让整改,php官方7.x版本的php停止维护了,这个漏洞至今7.x版本都存在,在成本最小的情况下,不升到最新的8.x版本怎么解决这个问题?

php CVE-2022-45307 不升级大版本的情况下有解决方案吗?

《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
最佳答案

这个 CVE 报的是来自 Chocolatey PHP 上的 8.1.12 之前的版本存在这个 CVE。

实际上说的是来自安装时的一个错误,Chocolatey 错误的把 php 的安装位置设置成了所有人可读写,这样就有可能存在其他程序 php.exe 文件被替换成木马的风险而已。


所以,如果你使用的 Chocolatey 安装的 PHP 那你就需要关心,如果不是,自然就不关心了。

另外说一下 Chocolatey 是 Windows 平台上的一个包管理器,难道你们生产用的 Windows 嘛,如果确实之前是使用的 Chocolatey 安装的,那就改一下这个安装目录的权限应该就可以了。

2周前 评论
Rache1 (作者) 2周前
EdwinYang (楼主) 2周前
EdwinYang (楼主) 2周前
shuifa 2周前
讨论数量: 34

改c源码

2周前 评论
EdwinYang (楼主) 2周前
Silly-dog (作者) 2周前
kis龍 2周前
Silly-dog (作者) 2周前
Silly-dog (作者) 2周前
kis龍 2周前

把对应php的安装目录设置为只读? 但是不知道会不会产生其他影响

2周前 评论
EdwinYang (楼主) 2周前

虽然我也不知道 但是我得顶起来 让群里其他大佬看到

2周前 评论
EdwinYang (楼主) 2周前

file

2周前 评论
EdwinYang (楼主) 2周前
chi-kwongli (作者) 2周前
EdwinYang (楼主) 2周前
deatil 2周前
EdwinYang (楼主) 2周前

搜半天也就看到个相关的,感觉一般应该也不会这么写代码的吧 file

nvd.nist.gov/vuln/detail/CVE-2022-...

cwe.mitre.org/data/definitions/732...

2周前 评论
EdwinYang (楼主) 2周前
EdwinYang (楼主) 2周前
shuifa 2周前
EdwinYang (楼主) 2周前
shuifa 2周前
Rache1 2周前

顶一下

2周前 评论
EdwinYang (楼主) 2周前

这个 CVE 报的是来自 Chocolatey PHP 上的 8.1.12 之前的版本存在这个 CVE。

实际上说的是来自安装时的一个错误,Chocolatey 错误的把 php 的安装位置设置成了所有人可读写,这样就有可能存在其他程序 php.exe 文件被替换成木马的风险而已。


所以,如果你使用的 Chocolatey 安装的 PHP 那你就需要关心,如果不是,自然就不关心了。

另外说一下 Chocolatey 是 Windows 平台上的一个包管理器,难道你们生产用的 Windows 嘛,如果确实之前是使用的 Chocolatey 安装的,那就改一下这个安装目录的权限应该就可以了。

2周前 评论
Rache1 (作者) 2周前
EdwinYang (楼主) 2周前
EdwinYang (楼主) 2周前
shuifa 2周前

屏蔽掉PHP版本监测,让客户端监测不到PHP版本,随他们监测

2周前 评论
EdwinYang (楼主) 2周前

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!