參考這篇文章,PHP 4.3.8 有嚴重安全漏洞,有心人可以利用某一些函數(如 unserialize 和 realpath)取得主機內部資訊,例如 phpBB 2.0.x 的設定檔 config.php 內容。任何使用 PHP 4.3.8 的系統都要盡快升級到 4.3.10 或 5.0.3 版。建築所論壇就是採用 phpBB2,也的確發生入侵事件,論壇首頁被植入不明程式碼,目前已經修復。
由於 FC1 沒有事先編譯好的 PHP 4.3.10 可供安裝,只好自己來,幸好可以從網路上偷別人的經驗,目前已經順利升級到 4.3.10。奇怪的是按照 4.3.8 的設定資料來編譯,PHP 模組竟然被安裝在 /usr/lib/20020429 這個目錄,而非 /usr/lib/php4,害我重新安裝 Turk MMCache 時卡住了一陣子。
重裝 PHP 時欠東欠西的,又用 yum install 了以下這些元件:bzip2-devel、libxslt-devel、imap-devel、pcre-devel、mysql-devel、postgresql-devel、aspell-devel、net-snmp-devel、elfutils-devel、unixODBC-devel。
No comments:
Post a Comment