使用脚本来实现网站动态效果，已经广泛应用于各个网站和WEB方式交互应用。而且，为实现更大交互性，很多都提供诸如图片上传、文件上传等功能其中ASP和PHP使用最为普遍。架设在IIS服务器上的ASP应用因为IIS的安全问题，让很多安全专家建议使用相对安全的PHP脚本。但是近日由德国e-matters公司发布了多个关于PHP文件上传函数中存在的远程漏洞，这些漏洞将广泛影响到IIS、Apache、Netscape、iPlanet等WEN服务器上使用PHP的安全。

　　如果攻击者利用这些漏洞，将能够执行任意程序。这个漏洞出现在php_mime_split函数中，该函数存在一些缓冲区溢出和脆弱的边界检查问题，其中的一些缓冲区问题能够被很容易利用。边界检查问题只在Linux和Solaris系统上可利用，而PHP3中存在的缓冲区溢出问题则影响了Linux,BSD,Windows,Solaris等系统。

　　由于PHP在Linux、Solaris等系统上使用广泛，金山毒霸安全小组建议使用PHP的用户请注意更新版本。请升级到2002-2-27发布的PHP 4.1.2版本，

　　下载地址：http://www.php.net/do_download.php?download_file=php-4.1.2.tar.gz

　　或者安装相应版本的补丁，这些补丁可以在http://www.php.net/downloads.php下载。

　　这些补丁包括：

　　PHP 4.1.0/4.11版本（1Kb）：

　　http://www.php.net/do_download.php?download_file=rfc1867.c.diff-4.1.x.gz

　　PHP 4.0.6版本（2Kb）：

　　http://www.php.net/do_download.php?download_file=rfc1867.c.diff-4.0.6.gz

　　PHP 3.0版本（1Kb）：

　　http://www.php.net/do_download.php?download_file=mime.c.diff-3.0.gz

　　如果使用的是PHP 4.0.3及以上版本，如果不使用上传功能，金山毒霸安全小组建议修改PHP中的配置文件，取消该功能，这样可以不受该漏洞影响。

　　编辑配置文件php.ini,设置：file_uploads = off 。

　　金山毒霸安全小组将继续跟踪该漏洞可能被黑客利用造成的影响。