PHP核心原始碼php-src近期完成由Quarkslab執行的安全性稽核,揭露多項高風險與中度風險漏洞,影響範圍涵蓋PHP-FPM、MySQL驅動與OpenSSL等關鍵模組。該稽核由Sovereign Tech Agency出資,透過開源技術改進基金會(OSTIF)協調,並獲得PHP基金會全力配合,進一步改善即將發布的PHP 8.4版本安全性。
本次稽核重點在於php-src中最具風險的模組與流程,範圍包含手動程式碼審查、動態測試與加密層面的評估。Quarkslab依據PHP基金會與OSTIF共同定義的威脅模型,對PHP-FPM主從架構、JSON解碼、MySQL原生驅動、表單上傳處理、PDO模擬預處理陳述式與密碼雜湊相關元件進行深入分析。整體稽核歷時兩個月,涵蓋靜態與動態分析流程,包括針對特定高風險模組開發模糊測試工具,並測試其在oss-fuzz環境下的表現。
稽核結果共發現27項問題,其中17項具有安全性風險,包含3項高風險、5項中度風險與9項低風險問題,另有10項屬於資訊性弱點。多數問題已在GitHub安全通報揭露,另有兩項尚未公開之高風險漏洞仍在修補中,預計於修正完成後正式公布。已公布的CVE包含CVE-2024-8929,指出MySQL驅動可能透過惡意伺服器觸發堆積緩衝區過讀(Over-Read),洩露先前請求內容;CVE-2024-9026涉及PHP-FPM日誌訊息潛在竄改風險;CVE-2024-8925為表單資料解析錯誤,可能導致誤解資訊;CVE-2024-8928則為記憶體管理異常可能造成記憶體區段錯誤。
PHP-FPM因其長時間在同一程序中執行多個請求,對於記憶體與資源管理的要求格外嚴格,本次稽核特別指出其在UID/GID處理、工作程序日誌管理與表單資料解析方面存在安全風險。另一方面,OpenSSL與libsodium整合部分,則發現數項與起始向量(Initialization Vector,IV)處理、金鑰長度、簽章錯誤行為與文件缺失相關的潛在問題,反映出加密模組在預設參數與使用者行為落差間仍有可改進空間。
Quarkslab在報告中肯定PHP核心程式碼整體品質良好,結構一致且符合設計規範,並強調此次發現的多數問題並非源自設計漏洞,而是實作細節與錯誤處理不足所致。PHP基金會也已依稽核建議進行修正,並表示未來將持續改善安全測試流程與靜態分析工具整合,強化持續整合環境下的自動防禦機制。
此次稽核雖受限於預算僅涵蓋關鍵模組,官方仍希望未來能透過社群或企業贊助,擴大涵蓋整體程式碼基礎,持續強化PHP的安全性與穩定性。稽核報告全文目前已公開,包含所有細項發現與修正建議,開發者可前往OSTIF網站或PHP基金會官方頁面下載閱讀。
熱門新聞
2025-04-20
2025-04-21
2025-04-21
2025-04-21
2025-04-18
2025-04-18
2025-04-18