The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

02.02.2012 21:26  Критическая уязвимость в PHP, позволяющая выполнить код на сервере. Вышел релиз PHP 5.3.10

В PHP обнаружена одна из самых серьёзных уязвимостей за время существования данного языка. Уязвимость проявляется только в PHP 5.3.9 и позволяет удалённому злоумышленнику выполнить свой код на сервере, независимо от того какие PHP-скрипты используются. При успешном совершении атаки код будет выполнен с правами PHP-приложения, к которому отправлен специально оформленный запрос.

По иронии судьбы, уязвимость связанна с некорректным устранением менее опасной проблемы безопасности в прошлой версии PHP. Для защиты от совершения DoS-атаки, которая может быть вызвана проблемой с предсказуемыми коллизиями в реализации алгоритма хэширования, в PHP 5.3.9 была добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов. В реализации данной директивы была допущена досадная ошибка, которая сделала возможным совершение более опасной атаки.

Суть проблемы в том, что при портировании кода с поддержкой директивы max_input_vars был пропущен блок "else" с освобождением памяти и выходом из функции. Без этого блока, при превышении заданного директивой max_input_vars лимита, который по умолчанию установлен в 1000, если превышающая лимит переменная является массивом (например, "a[]=1"), то эта переменная оказывается на месте указателя, который в дальнейшем получает управление.

Всем пользователям PHP 5.3.9 рекомендуется в экстренном порядке наложить патч или вернуться на более ранний выпуск PHP. Официального уведомления и исправления пока не выпущено. Проблему усугубляет то, что поддержка директивы max_input_vars была портирована из PHP 5.3.9 многими дистрибутивами и включена в пакеты с более старыми версиями PHP. Например, в обновлении пакета php5-5.3.3-7+squeeze6 для debian Squeeze имеется поддержка директивы max_input_vars. Та же самая ситуация наблюдается в Red Hat Enterprise Linux 5 и 6, а также в Fedora Linux и Mandriva.

Уязвимость выявлена Стефаном Эссером (Stefan Esser), создателем проектов Hardened-PHP и Suhosin. Комментируя решение проекта Debian отказаться от использования Suhosin, Стефан указал на то, что уязвимость в PHP пришлась весьма кстати, так как она хорошо демонстрирует необходимость в использовании Suhosin, который значительно снижает возможность эксплуатации, даже в стандартной конфигурации.

Дополнение 1: Вышла версия PHP 5.3.10 с исправлением уязвимости.

Дополнение 2: Для стабильной ветки Debian вышло обновление php5-5.3.3-7+squeeze7, полностью устраняющее данную уязвимость. Обновление также выпущено для RHEL и CentOS.

Дополнение 3: Так как функция php_register_variable_ex(), ошибка в которой вызывает уязвимость, была добавлена в PHP уже давно, не исключается возможность нахождения способа атаки на более старые версии PHP, начиная c версии 5.3.5. Но данные методы уже не проявляются так легко, как с max_input_vars.

  1. Главная ссылка к новости (http://thexploit.com/sec/criti...)
  2. OpenNews: Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSSL, Moodle, VirtualBox, Solaris, Wireshark, Glibc, DragonFly BSD, Asterisk
  3. OpenNews: Релиз PHP 5.3.9
  4. OpenNews: Универсальный способ DoS-атаки, затрагивающий PHP, Java, Ruby, Python и различные web-платформы
  5. OpenNews: В результате проведения Месяца безопасности PHP найдено 60 ошибок
  6. OpenNews: Эксперт по безопасности покидает команду PHP. Патчи для контроля почты
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: php, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:16, 02/02/2012 [ответить] [смотреть все]
  • +11 +/
    > Стефан указал на то, что уязвимость в PHP пришлась весьма кстати

    Прикольный метод напомнить о себе :)

     
     
  • 2.6, Аноним, 22:32, 02/02/2012 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Все счастливые обладатели дистрибутивов, security team которых портировал исправ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, myhand, 23:32, 02/02/2012 [^] [ответить] [смотреть все]  
  • –7 +/
    Счастливые обладатели подобных дистрибутивов - имеют еще и включенный Suhosin па... весь текст скрыт [показать]
     
  • 2.8, Аноним, 22:38, 02/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    pacman -Ss php extra php 5 3 9-1 An HTML-embedded scripting language ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, myhand, 23:11, 02/02/2012 [^] [ответить] [смотреть все]  
  • –6 +/
    Я же написал, кроме самоделкиных ССЗБ, арчеводов и гентушников просят не беспок... весь текст скрыт [показать]
     
     
  • 4.21, Аноним, 00:48, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    По логике, самоделкины - как раз мейнтейнеры бинарных дистров, которые сами соби... весь текст скрыт [показать]
     
     
  • 5.61, Аноним, 14:34, 03/02/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет, самоделкины - это те кто за майнтайнеров сам отдувается В этом случае майн... весь текст скрыт [показать]
     
  • 4.26, Crazy Alex, 03:42, 03/02/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну так самоделки на продакшн и не расчитаны, по крайней мере - с мордой торчащей... весь текст скрыт [показать]
     
     
  • 5.41, Andrey Mitrofanov, 11:00, 03/02/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Извините, упустил нить... это Вы про PHP? Ж))))))
     
  • 1.9, Mimo Shell, 22:42, 02/02/2012 [ответить] [смотреть все]  
  • +/
    А ничего что эти поделки Эссера сотоварищи обновляются тогда, когда это угодно левой пятке Стефана? Иногда неделю через после релиза, иногда - через пол-года. ну и причины исключения из Дебиана, по-моему, описаны довольно четко.
     
     
  • 2.15, myhand, 23:19, 02/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это как раз не страшно - дебиан не каждые полгода выходит Она там, фактически, ... весь текст скрыт [показать] [показать ветку]
     
  • 2.43, Аноним, 11:35, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Там только одна причина 171 Мы не можем майнтенить PHP, не хватает сил, поэто... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, myhand, 13:20, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Не врите Речь там зашла о том, что люди шлют сами такие багрепорты И их от... весь текст скрыт [показать]
     
     
  • 4.59, Аноним, 13:47, 03/02/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    s желание прямые руки ... весь текст скрыт [показать]
     
     
  • 5.63, myhand, 14:46, 03/02/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Руки у него вроде прямые Тут больше социальные проблемы Ну, переср лся он ... весь текст скрыт [показать]
     
     
  • 6.67, Andrey Mitrofanov, 15:22, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Ага но объяснить похапэшникам про безопасность не смог Пичально ... весь текст скрыт [показать]
     
  • 4.81, arisu, 20:21, 03/02/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    человек таки улучшил безопасность похапэшники, у которых с безопасностью традиц... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.20, noname, 00:26, 03/02/2012 [ответить] [смотреть все]  
  • +1 +/
    Только обновился и тут такое.
     
  • 1.22, Аноним, 00:57, 03/02/2012 [ответить] [смотреть все]  
  • +/
    Что-то мне подсказывает, что редхатовские сборки, как обычно, неуязвимы из-за фи... весь текст скрыт [показать]
     
     
  • 2.23, myhand, 02:10, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    А в Debian - как минимум из-за suhosin Плюс, выпущено обновление - в отличие о... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, playnet, 03:09, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    > А в Debian - как минимум из-за suhosin.

    ...который успено выпилен, не?

     
     
  • 4.25, myhand, 03:19, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Не Выключен он в unstable sid Стабильный релиз, естественно, это никак н... весь текст скрыт [показать]
     
  • 3.30, ghj, 06:51, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    В Debian вчера ещё обновление свалилось http www debian org security 2012 dsa... весь текст скрыт [показать]
     
     
  • 4.73, Аноним, 18:02, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    For the oldstable distribution lenny , no fix is available at this time Debia... весь текст скрыт [показать]
     
     
  • 5.75, Andrey Mitrofanov, 18:35, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    И Развейте же _Вашу_ мысль stable тоже в Debian В нём -- вчера _Это обнов... весь текст скрыт [показать]
     
     
  • 6.77, Andrey Mitrofanov, 18:48, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Ля, предупреждать же надо, что с соседним тредом разговариваешь ... весь текст скрыт [показать]
     
     
  • 7.78, Andrey Mitrofanov, 18:49, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Но да, поднимем стакан за фирменного редхатовского харденинга Не чокаясь ... весь текст скрыт [показать]
     
  • 3.57, Аноним, 13:43, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Читайте новость Suhosin не закрывает эту дыру, просто с ним нужен немного друго... весь текст скрыт [показать]
     
     
  • 4.62, myhand, 14:45, 03/02/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Ага, совсем немного Фантазер Не все Буратины, которые не вкурсе что подде... весь текст скрыт [показать]
     
     
  • 5.68, Аноним, 15:33, 03/02/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы таки утверждаете, что suhosin дает 100 гарантию от этой дыры Важно их отнош... весь текст скрыт [показать]
     
     
  • 6.71, myhand, 15:57, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    100 гарантии раздают только мошейники Но вероятность эксплуатации уязвимости ... весь текст скрыт [показать]
     
  • 4.74, Аноним, 18:04, 03/02/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    O_O нихрена себе вборс ... весь текст скрыт [показать]
     
     
  • 5.76, Andrey Mitrofanov, 18:46, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Он прав же Ср https rhn redhat com errata RHSA-2012-0093 html availabl... весь текст скрыт [показать]
     
     
  • 6.79, myhand, 19:08, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Не кормите троллей Обновление для oldstable было доступно еще утром ... весь текст скрыт [показать]
     
     
  • 7.80, Andrey Mitrofanov, 20:06, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Да ну нафиг php5_5 2 6 dfsg 1-1 lenny16 dsc 03-Feb-2012 14 56 Это 18 56 ... весь текст скрыт [показать]
     
     
  • 8.83, myhand, 21:39, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Смотрел дату метки релиза в CVS Таки не кормите ... весь текст скрыт [показать]
     
  • 1.28, Аноним, 06:26, 03/02/2012 [ответить] [смотреть все]  
  • –1 +/
    Это как с полковником кольтом Вот раньше были сишники, удел которых был писать ... весь текст скрыт [показать]
     
     
  • 2.33, Аноним, 09:08, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Но язык - лишь инструмент и результат начинающего школьника похож на го но Так ... весь текст скрыт [показать] [показать ветку]
     
  • 2.90, AdVv, 23:02, 06/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я тебе еще раз повторю для верности, PHP написан на С, языке, который предлагает... весь текст скрыт [показать] [показать ветку]
     
  • 1.29, Аноним, 06:32, 03/02/2012 [ответить] [смотреть все]  
  • +/
    PHP - самый популярный язык в вебе Он по-своему ужасен и не логичен, имеет пост... весь текст скрыт [показать]
     
     
  • 2.38, SubGun, 10:37, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Что ж, за ушлый вы народ,
    Прямо оторопь берет.
    Всяк другого мнит уродом,
    Несмотря, что сам урод.
    (с) Сказ про Федота-Стрельца
     
  • 2.51, Maris, 12:26, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Приравнивать популярность PHP со стороны пиара и маркетинга к Windows не совсем ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.89, AdVv, 22:47, 06/02/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты не улавливаешь суть, у посредственностей всегда есть желание выделиться, почу... весь текст скрыт [показать]
     
  • 1.32, Аноним, 08:55, 03/02/2012 [ответить] [смотреть все]  
  • +2 +/
    Еще одно доказательство старой истины- программирование это процесс устранения о... весь текст скрыт [показать]
     
  • 1.47, Аноним, 11:45, 03/02/2012 [ответить] [смотреть все]  
  • +/
    МНЕ КАЖЕТСЯ, что я нашёл ещё одну уязвимость в PHP-5 Fedora 16 SELinux php-ко... весь текст скрыт [показать]
     
     
  • 2.50, Аноним, 12:10, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    если не слишком разбираешься, то и не нужно писать возможно, об ошибку уже знаю... весь текст скрыт [показать] [показать ветку]
     
  • 2.85, Michael Shigorin, 19:57, 04/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    https bugzilla redhat com... весь текст скрыт [показать] [показать ветку]
     
  • 1.49, Аноним, 12:08, 03/02/2012 [ответить] [смотреть все]  
  • +/
    в каких дистрибутивах используется уязвимая версия php что-то мне кажется не та... весь текст скрыт [показать]
     
     
  • 2.52, Аноним, 12:37, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В половине Многие дистрибутивы эту пресловутую защиту от DoS-атаки портировали ... весь текст скрыт [показать] [показать ветку]
     
  • 1.55, Аноним, 13:39, 03/02/2012 [ответить] [смотреть все]  
  • –1 +/
    Дебиановцы, как всегда, отличаются прекрасным качеством поддержки Если не собир... весь текст скрыт [показать]
     
  • 1.56, Аноним, 13:40, 03/02/2012 [ответить] [смотреть все]  
  • +1 +/
    Народ, скажите пожалуйста, как сильно отстает remi репозиторий от выпуска самых ... весь текст скрыт [показать]
     
  • 1.66, ILYA INDIGO, 15:21, 03/02/2012 [ответить] [смотреть все]  
  • +/
    Ожидал ещё вчера релиза 5.4.0, а тут на тебе...
    Как говориться хотели как лучше, а вышло как всегда!
    Радует что я сначала обновился до 5.3.10, но офф сайте так и не понял причину обновления, а тут уже потом прочитал её.
    Хоть что то на openSUSE собирают мгновенно :)
     
  • 1.84, Анонист, 00:49, 04/02/2012 [ответить] [смотреть все]  
  • +/
    на фре не запашет там есть фаршировка рандумизации адресации
     
  • 1.86, Аноним, 23:05, 05/02/2012 [ответить] [смотреть все]  
  • +1 +/
    в Fedora 16 до сих пор не обновили. Уже три дня прошло.
     
     
  • 2.91, Аноним, 19:07, 07/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Уже ПЯТЬ дней - и в Fedora 16 так и нет обновления.
     
     
  • 3.92, Аноним, 22:58, 11/02/2012 [^] [ответить] [смотреть все]  
  • +/
    В итоге обновил 10 января 8-го ещё не было обновления, а вот 9-го не помню пров... весь текст скрыт [показать]
     
  • 1.87, Ne01eX, 08:27, 06/02/2012 [ответить] [смотреть все]  
  • +/
    А чё альты такие расслабленные? У них-то как раз очки ломы должны перекусывать, - php5-5.3.8.20110823-alt2 до сих пор.

    P.S. Райдеру привет =)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor