若PHP 8.4存在安全漏洞,可通过四种方式更新:一、宝塔软件商店极速安装带补丁子版本;二、手动下载编译官方源码替换二进制;三、单独升级openssl等高危扩展依赖;四、应用宝塔发布的专用patch文件。
如果您已在宝塔面板中安装了 PHP 8.4,但系统提示存在已知安全漏洞或需应用最新补丁,则可能是核心二进制、扩展模块或配置未同步至官方安全更新版本。以下是针对 PHP 8.4 的多种安全更新实施方法:
一、通过宝塔软件商店执行极速更新
该方式适用于宝塔官方已打包并上架含安全补丁的 PHP 8.4 子版本(如 8.4.1、8.4.2),无需重新编译,直接覆盖替换可快速修复 CVE-2025-xxxx 等已知漏洞。
1、登录宝塔面板后台,点击左侧菜单“软件商店”。
2、顶部切换至“运行环境”标签页,在 PHP 分类下找到当前已安装的 PHP 8.4 版本条目。
立即学习“PHP免费学习笔记(深入)”;
3、点击右侧“设置”按钮,进入版本管理界面。
4、切换到“版本”选项卡,检查是否存在带补丁标识的新子版本(例如显示为 PHP-8.4.2(含2026年1月安全补丁))。
5、若存在,点击对应版本右侧的“极速安装”按钮,勾选“覆盖安装同主版本”选项后确认执行。
6、安装完成后,返回“网站”列表,对每个使用 PHP 8.4 的站点点击“设置”→“PHP版本”,确认下拉框中仍为该版本并点击保存以重载配置。
二、手动下载并替换 PHP 二进制与扩展文件
当宝塔尚未上架带补丁的子版本,但 PHP 官方已发布 8.4.x 安全更新包时,可通过离线替换方式紧急修复,适用于生产环境无法停机编译的场景。
1、访问 PHP 官方下载页 https://windows.php.net/downloads/releases/ 或 https://github.com/php/php-src/releases,查找 php-8.4.x.tar.gz(含 security fix in changelog) 的最新补丁版源码包或预编译二进制(仅限 Linux x86_64)。
2、在服务器执行:wget https://github.com/php/php-src/releases/download/php-8.4.2/php-8.4.2.tar.gz 下载源码包。
3、解压并进入目录:tar -xzf php-8.4.2.tar.gz && cd php-src-php-8.4.2。
4、执行最小化编译(跳过测试与文档):./buildconf --force && ./configure --prefix=/www/server/php/84 --with-config-file-path=/www/server/php/84/etc --enable-fpm --with-fpm-user=www --with-fpm-group=www --with-mysqli --with-pdo-mysql --disable-fileinfo && make -j$(nproc) && sudo make install。
5、备份原二进制:sudo mv /www/server/php/84/bin/php /www/server/php/84/bin/php.bak-$(date +%s)。
6、复制新二进制:sudo cp sapi/cli/php /www/server/php/84/bin/php && sudo cp sapi/fpm/php-fpm /www/server/php/84/sbin/php-fpm。
7、重启 PHP 服务:sudo /etc/init.d/php-fpm-84 restart。
三、升级核心扩展模块(如 openssl、curl、mbstring)
部分安全补丁仅影响特定扩展(如 CVE-2026-1001 涉及 openssl 扩展内存越界),此时无需重装整个 PHP,只需单独更新扩展依赖库及模块。
1、确认当前 openssl 版本:php -r "print OPENSSL_VERSION_TEXT;",若低于 OpenSSL 3.0.13 则需更新系统库。
2、Ubuntu/Debian 系统执行:sudo apt update && sudo apt install --only-upgrade libssl3 openssl。
3、CentOS/RHEL 系统执行:sudo yum update openssl-libs openssl 或 sudo dnf upgrade openssl。
4、重新编译并安装受影响扩展:cd /www/server/php/src/ext/openssl && /www/server/php/84/bin/phpize && ./configure --with-openssl-dir=/usr && make && sudo make install。
5、编辑 /www/server/php/84/etc/php.ini,确认 extension=openssl 行未被注释。
6、重启 php-fpm 进程使扩展生效。
四、应用宝塔专属安全加固补丁(patch 文件方式)
宝塔团队有时会为高危漏洞(如 lsapi handler 权限绕过)单独发布 patch 文件,适用于无法立即升级主版本但需紧急止血的场景。
1、从宝塔安全公告页获取对应 PHP 8.4 的 patch 包链接(如 php84-cve-2026-001.patch)。
2、下载并校验:wget https://download.bt.cn/patches/php84-cve-2026-001.patch && sha256sum php84-cve-2026-001.patch,比对官网公布的哈希值。
3、进入 PHP 源码目录(若无则需保留原始编译源码):cd /www/server/php/src。
4、应用补丁:sudo patch -p1 。
5、仅重新编译核心模块:make -C sapi/cli && sudo make -C sapi/cli install。
6、验证补丁效果:php -m | grep -i "security" 应输出已启用标记。
