PHP 开发团队发布了紧急安全更新，以解决影响 8.1.31、8.2.26 和 8.3.14 之前版本的多个漏洞。这些漏洞的严重程度不一，其中一些可能允许攻击者泄漏敏感信息、执行任意代码或发起拒绝服务攻击。

CVE-2024-8932 是最严重的漏洞之一，它允许在 ldap_escape 函数中进行越界 (OOB) 访问。该漏洞的 CVSS 得分为 9.8，可使攻击者在受影响的系统上执行任意代码。

该公告警告说：“在 32 位系统上，向 ldap_escape 输入不受控的长字符串会导致整数溢出，造成越界写入。”

另一个关键漏洞 CVE-2024-8929 允许攻击者通过堆缓冲区超读泄露堆的部分内容。这个漏洞可以通过连接到假冒的 MySQL 服务器或篡改网络数据包来利用。该公告解释说：“使用在请求之间和两个不同的 SQL 查询请求之间保持存活的 PHP-FPM……可以从 PHP-FPM Worker 中提取前一个 MySQL 请求的响应内容。”一个概念验证漏洞演示了假冒的 MySQL 服务器如何操纵数据包头来提取剩余的缓冲区数据。

除了这些关键漏洞，更新还解决了其他几个问题，包括：

• CVE-2024-11233： convert.quoted-printable-decode 过滤器的单字节超读，可能导致信息泄漏或拒绝服务。
• CVE-2024-11236：Firebird 和 dblib quoters 中的整数溢出，可能导致越界写入。
• CVE-2024-11234： 配置代理时，在流上下文中存在 CRLF 注入漏洞，可能导致 HTTP 请求走私攻击。该公告指出：“在流上下文中配置代理可能允许在 URI 中注入 CRLF，从而导致 HTTP 请求走私攻击。”

PHP 项目强烈呼吁所有用户立即将 PHP 安装更新到最新版本。这些更新包括防止攻击者利用这些漏洞入侵系统的修复程序。

有关每个漏洞和缓解策略的详细信息，请参阅 PHP 官方安全公告。