php CVE-2022-45307 不升级大版本的情况下有解决方案吗？

问答 / 283 / 34 / 创建于 1个月前 / 更新于 1个月前

1. 运行环境

1). 当前使用的 Laravel 版本？

5.7.29

2). 当前使用的 php/php-fpm 版本？

PHP 版本：7.4.33

3). 当前系统

基于alpine构建

2. 问题描述？

公司和国企有业务往来，代码都私有化部署在国企的服务器上，最近报出漏洞（CVE-2022-45307）让整改，php官方7.x版本的php停止维护了，这个漏洞至今7.x版本都存在，在成本最小的情况下，不升到最新的8.x版本怎么解决这个问题？

php CVE-2022-45307 不升级大版本的情况下有解决方案吗？

见习助教 40 声望

勤劳的搬运工。

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

推荐文章：

更多推荐...

你好，InnoCMS：一个 Laravel 社区老员的开源建站之旅 34 / 53 |

我的新作品，基于filament的NXCRM2.0来了。 15 / 46 |

PHP 中一次反射需要多长时间 26 / 8 |

[求职]在郑州工作4年的程序媛的简历优化 15 / 184 |

PHP Annotated——2023 年 12 月 25 / 2 |

php面试简单整理 16 / 7 |

Rache1

588 声望

最佳答案

这个 CVE 报的是来自 Chocolatey PHP 上的 8.1.12 之前的版本存在这个 CVE。

Vuln/php-weak-permission-vuln/php-weak-permission-vuln.md at cd288e5e1e8b1583d82ff164ed27fc3faae51c49 · ycdxsb/Vuln

实际上说的是来自安装时的一个错误，Chocolatey 错误的把 php 的安装位置设置成了所有人可读写，这样就有可能存在其他程序 php.exe 文件被替换成木马的风险而已。

所以，如果你使用的 Chocolatey 安装的 PHP 那你就需要关心，如果不是，自然就不关心了。

另外说一下 Chocolatey 是 Windows 平台上的一个包管理器，难道你们生产用的 Windows 嘛，如果确实之前是使用的 Chocolatey 安装的，那就改一下这个安装目录的权限应该就可以了。

1个月前评论

Rache1 （作者）

@EdwinYang 这些检测，都是简单的比较 PHP 版本发的，不会实际验证漏洞。

EdwinYang （楼主）

了解了，感谢，但还是有一点往指点，我们生产并不是用的Chocolatey安装，而是linux系统基于docker运行的php容器，按照这么说，甲方不应该给我们报这个漏洞，但是现在确确实实给报出来了，难道是因为他们这个检测也不专业吗？当然这个问题我应该去问问甲方[偷笑]

EdwinYang （楼主）

@Rache1 👌

shuifa

@EdwinYang 巨老啊，学习到了

讨论数量: 34

Silly-dog

33 声望

改c源码

1个月前评论

EdwinYang （楼主）

老哥有没有具体的步骤，这个还是需要点C基础才行。

Silly-dog （作者）

@EdwinYang 我是自己看下关于这个bug 的修复是怎么实现的从高版本拷过来好了我c也不是很好只能处理一些简单的问题

kis龍

@Silly-dog CVE-2022-45307 这个页面也没有写怎么修复的，请问修复的源码和漏洞的利用去哪里找呢？

Silly-dog （作者）

@kis龍漏洞复现有人发了看最后一楼修复的源码一般是我自己找的但是也可以去phpissue 里边或者 bugs.php.net 看看我这种菜狗一找就需要找十天半个月还是bugs 里边靠谱点

Silly-dog （作者）

@kis龍按照最新修复版本的提交记录往前差提交记录一般就找得到

kis龍

@Silly-dog 谢谢，找到方法也就容易了，共勉

lmdfx

Laravel 9.x 译者 129 声望

把对应php的安装目录设置为只读？但是不知道会不会产生其他影响

1个月前评论

EdwinYang （楼主）

这个方案感觉有点悬，可以作为补偿方案测试一下。

Neutrino

10 声望

虽然我也不知道但是我得顶起来让群里其他大佬看到

1个月前评论

EdwinYang （楼主）

谢谢

chi-kwongli

3 声望

file

1个月前评论

EdwinYang （楼主）

请问你这个贴子的连接有吗？应该不是你发的这个，CVE-2022-45307是权限的问题，而不是date函数应用的问题，不过还是谢谢。

EdwinYang （楼主）

avd.aliyun.com/detail?id=AVD-2022-...

chi-kwongli （作者）

@EdwinYang 这个是我用百度ai搜索的建议你用chat-gpt搜搜看

EdwinYang （楼主）

@chi-kwongli 谢谢，已经使用过chatgpt，没有具体的答案，百度AI那个应该不是准确的。

deatil

@EdwinYang 用第二个方法解决吧，把date包装下或者用carbon库

EdwinYang （楼主）

@deatil 关键不是这个问题，这个是百度AI乱回答的，CVE-2022-45307是权限问题，目前看来最简单可能是改源码，自己打包，但是这个需要一定的C能力。

小猪蹄子

197 声望

搜半天也就看到个相关的，感觉一般应该也不会这么写代码的吧 file

nvd.nist.gov/vuln/detail/CVE-2022-...

cwe.mitre.org/data/definitions/732...

1个月前评论

EdwinYang （楼主）

一般来说都不会这么写，但是甲方让修复，也没有什么招。

EdwinYang （楼主）

因为确确实实也是能触发的漏洞

shuifa

@EdwinYang 全局替换 mkdir 代码。。加入第二个参数0644就行吧

EdwinYang （楼主）

@shuifa 你看看这个 cwe.mitre.org/data/definitions/732...

shuifa

@EdwinYang 还有其他可能造成权限问题的吗，，我看他就举例这一个。你可以去看php的change log。看看bugfix 在哪个版本修复的。找到修复的isseu代码。对应到你的机器上改动。重新编译php

Rache1

你这里就看错了，虽然这个 CVE-2022-45307 的下面链接了一个 CWE-732，而 CWE 的全称是 “通用缺陷列表 (Common Weakness Enumeration)” ，这个是一个通用代码，不是特指这一个 CVE 的。

PHP-Coder

课程读者 48 声望

顶一下

1个月前评论

EdwinYang （楼主）

谢谢

Rache1

588 声望

这个 CVE 报的是来自 Chocolatey PHP 上的 8.1.12 之前的版本存在这个 CVE。

Vuln/php-weak-permission-vuln/php-weak-permission-vuln.md at cd288e5e1e8b1583d82ff164ed27fc3faae51c49 · ycdxsb/Vuln

实际上说的是来自安装时的一个错误，Chocolatey 错误的把 php 的安装位置设置成了所有人可读写，这样就有可能存在其他程序 php.exe 文件被替换成木马的风险而已。

所以，如果你使用的 Chocolatey 安装的 PHP 那你就需要关心，如果不是，自然就不关心了。

另外说一下 Chocolatey 是 Windows 平台上的一个包管理器，难道你们生产用的 Windows 嘛，如果确实之前是使用的 Chocolatey 安装的，那就改一下这个安装目录的权限应该就可以了。

1个月前评论

Rache1 （作者）

@EdwinYang 这些检测，都是简单的比较 PHP 版本发的，不会实际验证漏洞。

EdwinYang （楼主）

了解了，感谢，但还是有一点往指点，我们生产并不是用的Chocolatey安装，而是linux系统基于docker运行的php容器，按照这么说，甲方不应该给我们报这个漏洞，但是现在确确实实给报出来了，难道是因为他们这个检测也不专业吗？当然这个问题我应该去问问甲方[偷笑]

EdwinYang （楼主）

@Rache1 👌

shuifa

@EdwinYang 巨老啊，学习到了

Larva

57 声望

屏蔽掉PHP版本监测，让客户端监测不到PHP版本，随他们监测

1个月前评论

EdwinYang （楼主）

这也是一个不错的办法，把对应的版本号都给隐藏掉，他们也没有去复现，只是拿到一堆工具比对版本号。

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助