The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

02.02.2012 21:26  Критическая уязвимость в PHP, позволяющая выполнить код на сервере. Вышел релиз PHP 5.3.10

В PHP обнаружена одна из самых серьёзных уязвимостей за время существования данного языка. Уязвимость проявляется только в PHP 5.3.9 и позволяет удалённому злоумышленнику выполнить свой код на сервере, независимо от того какие PHP-скрипты используются. При успешном совершении атаки код будет выполнен с правами PHP-приложения, к которому отправлен специально оформленный запрос.

По иронии судьбы, уязвимость связанна с некорректным устранением менее опасной проблемы безопасности в прошлой версии PHP. Для защиты от совершения DoS-атаки, которая может быть вызвана проблемой с предсказуемыми коллизиями в реализации алгоритма хэширования, в PHP 5.3.9 была добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов. В реализации данной директивы была допущена досадная ошибка, которая сделала возможным совершение более опасной атаки.

Суть проблемы в том, что при портировании кода с поддержкой директивы max_input_vars был пропущен блок "else" с освобождением памяти и выходом из функции. Без этого блока, при превышении заданного директивой max_input_vars лимита, который по умолчанию установлен в 1000, если превышающая лимит переменная является массивом (например, "a[]=1"), то эта переменная оказывается на месте указателя, который в дальнейшем получает управление.

Всем пользователям PHP 5.3.9 рекомендуется в экстренном порядке наложить патч или вернуться на более ранний выпуск PHP. Официального уведомления и исправления пока не выпущено. Проблему усугубляет то, что поддержка директивы max_input_vars была портирована из PHP 5.3.9 многими дистрибутивами и включена в пакеты с более старыми версиями PHP. Например, в обновлении пакета php5-5.3.3-7+squeeze6 для debian Squeeze имеется поддержка директивы max_input_vars. Та же самая ситуация наблюдается в Red Hat Enterprise Linux 5 и 6, а также в Fedora Linux и Mandriva.

Уязвимость выявлена Стефаном Эссером (Stefan Esser), создателем проектов Hardened-PHP и Suhosin. Комментируя решение проекта Debian отказаться от использования Suhosin, Стефан указал на то, что уязвимость в PHP пришлась весьма кстати, так как она хорошо демонстрирует необходимость в использовании Suhosin, который значительно снижает возможность эксплуатации, даже в стандартной конфигурации.

Дополнение 1: Вышла версия PHP 5.3.10 с исправлением уязвимости.

Дополнение 2: Для стабильной ветки Debian вышло обновление php5-5.3.3-7+squeeze7, полностью устраняющее данную уязвимость. Обновление также выпущено для RHEL и CentOS.

Дополнение 3: Так как функция php_register_variable_ex(), ошибка в которой вызывает уязвимость, была добавлена в PHP уже давно, не исключается возможность нахождения способа атаки на более старые версии PHP, начиная c версии 5.3.5. Но данные методы уже не проявляются так легко, как с max_input_vars.

  1. Главная ссылка к новости (http://thexploit.com/sec/criti...)
  2. OpenNews: Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSSL, Moodle, VirtualBox, Solaris, Wireshark, Glibc, DragonFly BSD, Asterisk
  3. OpenNews: Релиз PHP 5.3.9
  4. OpenNews: Универсальный способ DoS-атаки, затрагивающий PHP, Java, Ruby, Python и различные web-платформы
  5. OpenNews: В результате проведения Месяца безопасности PHP найдено 60 ошибок
  6. OpenNews: Эксперт по безопасности покидает команду PHP. Патчи для контроля почты
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: php, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 22:16, 02/02/2012 [ответить] [показать ветку] [···]    [к модератору]
  • +11 +/
    > Стефан указал на то, что уязвимость в PHP пришлась весьма кстати

    Прикольный метод напомнить о себе :)

     
     
  • 2.6, Аноним (-), 22:32, 02/02/2012 [^] [ответить]     [к модератору]
  • +2 +/
    Все счастливые обладатели дистрибутивов, security team которых портировал исправ... весь текст скрыт [показать]
     
     
  • 3.16, myhand (ok), 23:32, 02/02/2012 [^] [ответить]     [к модератору]  
  • –7 +/
    Счастливые обладатели подобных дистрибутивов - имеют еще и включенный Suhosin па... весь текст скрыт [показать]
     
  • 2.8, Аноним (-), 22:38, 02/02/2012 [^] [ответить]    [к модератору]  
  • +/
    >Это кто такие, помимо самоделкиных (./configure && make all install)?

    pacman -Ss php
    extra/php 5.3.9-1
        An HTML-embedded scripting language

     
     
  • 3.13, myhand (ok), 23:11, 02/02/2012 [^] [ответить]    [к модератору]  
  • –6 +/
    Я же написал, кроме самоделкиных: ССЗБ, арчеводов и гентушников просят не беспокоиться.
     
     
  • 4.21, Аноним (-), 00:48, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    По логике, самоделкины - как раз мейнтейнеры бинарных дистров, которые сами собирают пакеты, вместо того, чтобы оставлять это пользователям.
     
     
  • 5.61, Аноним (-), 14:34, 03/02/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Нет, самоделкины - это те кто за майнтайнеров сам отдувается В этом случае майн... весь текст скрыт [показать]
     
  • 4.26, Crazy Alex (ok), 03:42, 03/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну так самоделки на продакшн и не расчитаны, по крайней мере - с мордой торчащей во внешний мир.
     
     
  • 5.41, Andrey Mitrofanov (?), 11:00, 03/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    Извините, упустил нить... это Вы про PHP? Ж))))))
     
  • 1.9, Mimo Shell (?), 22:42, 02/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А ничего что эти поделки Эссера сотоварищи обновляются тогда, когда это угодно левой пятке Стефана? Иногда неделю через после релиза, иногда - через пол-года. ну и причины исключения из Дебиана, по-моему, описаны довольно четко.
     
     
  • 2.15, myhand (ok), 23:19, 02/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Это как раз не страшно - дебиан не каждые полгода выходит Она там, фактически, ... весь текст скрыт [показать]
     
  • 2.43, Аноним (-), 11:35, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Там только одна причина 171 Мы не можем майнтенить PHP, не хватает сил, поэто... весь текст скрыт [показать]
     
     
  • 3.54, myhand (ok), 13:20, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Не врите Речь там зашла о том, что люди шлют сами такие багрепорты И их от... весь текст скрыт [показать]
     
     
  • 4.59, Аноним (-), 13:47, 03/02/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    > Есть там еще одна проблема - Стефан.  Было бы у него
    > действительно желание - патч так или иначе интегрировали бы в апстрим.

    s/желание/прямые руки/

     
     
  • 5.63, myhand (ok), 14:46, 03/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    Руки у него вроде прямые.  Тут больше "социальные" проблемы.  Ну, переср*лся он там со всеми, понимаешь :)
     
     
  • 6.67, Andrey Mitrofanov (?), 15:22, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    >Тут больше "социальные" проблемы.  Ну, переср*лся он там со всеми, понимаешь :)

    Ага. ...но объяснить похапэшникам про безопасность не смог. Пичально$))

     
  • 4.81, arisu (ok), 20:21, 03/02/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    человек таки улучшил безопасность похапэшники, у которых с безопасностью традиц... весь текст скрыт [показать]
     
  • 1.20, noname (??), 00:26, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Только обновился и тут такое.
     
  • 1.22, Аноним (-), 00:57, 03/02/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Что-то мне подсказывает, что редхатовские сборки, как обычно, неуязвимы из-за фи... весь текст скрыт [показать]
     
     
  • 2.23, myhand (ok), 02:10, 03/02/2012 [^] [ответить]    [к модератору]  
  • –2 +/
    А в Debian - как минимум из-за suhosin.  Плюс, выпущено обновление - в отличие от.
     
     
  • 3.24, playnet (ok), 03:09, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > А в Debian - как минимум из-за suhosin.

    ...который успено выпилен, не?

     
     
  • 4.25, myhand (ok), 03:19, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > ...который успено выпилен, не?

    "Не".  Выключен он в unstable (sid).  Стабильный релиз, естественно, это никак не затронуло.

     
  • 3.30, ghj (?), 06:51, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    В Debian вчера ещё обновление свалилось: http://www.debian.org/security/2012/dsa-2403
     
     
  • 4.73, Аноним (-), 18:02, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    For the oldstable distribution lenny , no fix is available at this time Debia... весь текст скрыт [показать]
     
     
  • 5.75, Andrey Mitrofanov (?), 18:35, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    И Развейте же _Вашу_ мысль stable тоже в Debian В нём -- вчера _Это обнов... весь текст скрыт [показать]
     
     
  • 6.77, Andrey Mitrofanov (?), 18:48, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > И? Развейте же _Вашу_ мысль??

    Ля, предупреждать же надо, что с соседним тредом разговариваешь.

     
     
  • 7.78, Andrey Mitrofanov (?), 18:49, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    >> И? Развейте же _Вашу_ мысль??
    > Ля, предупреждать же надо, что с соседним тредом разговариваешь.

    Но да, поднимем стакан за "фирменного редхатовского харденинга". Не чокаясь.

     
  • 3.57, Аноним (-), 13:43, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Читайте новость Suhosin не закрывает эту дыру, просто с ним нужен немного друго... весь текст скрыт [показать]
     
     
  • 4.62, myhand (ok), 14:45, 03/02/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Ага, совсем немного Фантазер Не все Буратины, которые не вкурсе что подде... весь текст скрыт [показать]
     
     
  • 5.68, Аноним (-), 15:33, 03/02/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Вы таки утверждаете, что suhosin дает 100 гарантию от этой дыры Важно их отнош... весь текст скрыт [показать]
     
     
  • 6.71, myhand (ok), 15:57, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    100 гарантии раздают только мошейники Но вероятность эксплуатации уязвимости ... весь текст скрыт [показать]
     
  • 4.74, Аноним (-), 18:04, 03/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > Вот только у редхата обновлены все поддерживаемые версии, а у дебиана - далеко не все.

    O_O нихрена себе вборс.

     
     
  • 5.76, Andrey Mitrofanov (?), 18:46, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Он прав же Ср https rhn redhat com errata RHSA-2012-0093 html availabl... весь текст скрыт [показать]
     
     
  • 6.79, myhand (ok), 19:08, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > +++Они опять убили Ленни, сволочи!
    > ---А обещали ещё _целых_ _три_ _дня_ поддержки oldstable.

    Не кормите троллей.  Обновление для oldstable было доступно еще утром.

     
     
  • 7.80, Andrey Mitrofanov (?), 20:06, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Да ну нафиг php5_5 2 6 dfsg 1-1 lenny16 dsc 03-Feb-2012 14 56 Это 18 56 ... весь текст скрыт [показать]
     
     
  • 8.83, myhand (ok), 21:39, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Смотрел дату метки релиза в CVS Таки не кормите ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (17)

  • 1.28, Аноним (-), 06:26, 03/02/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Это как с полковником кольтом Вот раньше были сишники, удел которых был писать ... весь текст скрыт [показать]
     
     
  • 2.33, Аноним (-), 09:08, 03/02/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Но язык - лишь инструмент и результат начинающего школьника похож на го но Так ... весь текст скрыт [показать]
     
  • 2.90, AdVv (ok), 23:02, 06/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Я тебе еще раз повторю для верности, PHP написан на С, языке, который предлагает... весь текст скрыт [показать]
     
  • 1.29, Аноним (-), 06:32, 03/02/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    PHP - самый популярный язык в вебе Он по-своему ужасен и не логичен, имеет пост... весь текст скрыт [показать]
     
     
  • 2.38, SubGun (ok), 10:37, 03/02/2012 [^] [ответить]    [к модератору]  
  • +6 +/
    Что ж, за ушлый вы народ,
    Прямо оторопь берет.
    Всяк другого мнит уродом,
    Несмотря, что сам урод.
    (с) Сказ про Федота-Стрельца
     
  • 2.51, Maris (?), 12:26, 03/02/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Приравнивать популярность PHP со стороны пиара и маркетинга к Windows не совсем ... весь текст скрыт [показать]
     
     
  • 3.89, AdVv (ok), 22:47, 06/02/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Ты не улавливаешь суть, у посредственностей всегда есть желание выделиться, почу... весь текст скрыт [показать]
     
  • 1.32, Аноним (-), 08:55, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Еще одно доказательство старой истины- программирование это процесс устранения одних ошибок и добавление других.
     
  • 1.47, Аноним (-), 11:45, 03/02/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    МНЕ КАЖЕТСЯ, что я нашёл ещё одну уязвимость в PHP-5 Fedora 16 SELinux php-ко... весь текст скрыт [показать]
     
     
  • 2.50, Аноним (-), 12:10, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    если не слишком разбираешься, то и не нужно писать возможно, об ошибку уже знаю... весь текст скрыт [показать]
     
  • 2.85, Michael Shigorin (ok), 19:57, 04/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > Скажите пожалуйста куда обратиться с предполагаемым багом.

    https://bugzilla.redhat.com

     
  • 1.49, Аноним (-), 12:08, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    в каких дистрибутивах используется уязвимая версия php? что-то мне кажется не так много их.
     
     
  • 2.52, Аноним (-), 12:37, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    В половине Многие дистрибутивы эту пресловутую защиту от DoS-атаки портировали ... весь текст скрыт [показать]
     
  • 1.55, Аноним (-), 13:39, 03/02/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Дебиановцы, как всегда, отличаются прекрасным качеством поддержки Если не собир... весь текст скрыт [показать]
     
  • 1.56, Аноним (-), 13:40, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Народ, скажите пожалуйста, как сильно отстает remi репозиторий от выпуска самых последних апдейтов php?
     
  • 1.66, ILYA INDIGO (ok), 15:21, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ожидал ещё вчера релиза 5.4.0, а тут на тебе...
    Как говориться хотели как лучше, а вышло как всегда!
    Радует что я сначала обновился до 5.3.10, но офф сайте так и не понял причину обновления, а тут уже потом прочитал её.
    Хоть что то на openSUSE собирают мгновенно :)
     
  • 1.84, Анонист (?), 00:49, 04/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    на фре не запашет там есть фаршировка рандумизации адресации
     
  • 1.86, Аноним (-), 23:05, 05/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    в Fedora 16 до сих пор не обновили. Уже три дня прошло.
     
     
  • 2.91, Аноним (-), 19:07, 07/02/2012 [^] [ответить]    [к модератору]  
  • +/
    Уже ПЯТЬ дней - и в Fedora 16 так и нет обновления.
     
     
  • 3.92, Аноним (-), 22:58, 11/02/2012 [^] [ответить]    [к модератору]  
  • +/
    В итоге обновил 10 января. 8-го ещё не было обновления, а вот 9-го не помню проверял ли.
     
  • 1.87, Ne01eX (??), 08:27, 06/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А чё альты такие расслабленные? У них-то как раз очки ломы должны перекусывать, - php5-5.3.8.20110823-alt2 до сих пор.

    P.S. Райдеру привет =)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor