PHP 安全更新|PHP 7.4.2 与 PHP 7.3.14，以及 PHP 7.2.27 正式发布

PHP技术大全

上图来自 twitter 上的新鲜事

我们打开上述的网址：https://www.php.net/archive/2020.php#2020-01-23-3

基本都是一个意思：PHP开发团队宣布了 PHP 7.x.y 即时可用性（就是现在可以用了）。这是一个包含几个 bug 修复的安全发行版。所有的 PHP 7.x 用户都被鼓励更新到这个版本。PHP7.x.y 的源码下载请访问我们的下载页面，windows 源码和二进制包在 http://windows.php.net/download/ 。变更记录列表被记录在 changelog 里面。

打开 PHP 7.4.2 的 changelog 网址：http://www.php.net/ChangeLog-7.php#7.2.27，我们找到了 2 个 CVE 安全漏洞的更新。

# CVE-2020-7060
Mbstring:
Fixed bug #79037 (global buffer-overflow in `mbfl_filt_conv_big5_wchar`). (CVE-2020-7060)

# CVE-2020-7059
Standard:
Fixed bug #79099 (OOB read in php_strip_tags_ex). (CVE-2020-7059)

上面 2 个安全漏洞的修复就是这次更新的主要内容，有兴趣的 PHPer 玩家可以继续探索一下上述 CVE 漏洞的触发条件，以便更好地规避。当然咯，你要是能把漏洞利用起来，那只能说算你狠了。