В опубликованных (http://php.net/archive/2018.php) на днях корректирующих обновлениях PHP 5.6.39, 7.0.33, 7.1.25 и 7.2.13 устранена (http://php.net/ChangeLog-7.php#7.0.33) неприятная уязвимость (http://bugs.php.net/77153) (CVE-2018-19518 (https://security-tracker.debian.org/tracker/CVE-2018-19518)) в штатном PHP-дополнении IMAP, выявленная (https://antichat.com/threads/463395/#post-4254681) ещё в октябре. Уязвимость позволяет атаковать web-приложения для работы с электронной почтой или обойти системные ограничения доступа к функциям, выставляемые через опцию disable_functions в php.ini. В случае запрета вызовов, подобных exec, system, shell_exec и passthru, уязвимость даёт возможность выполнить произвольный shell-код, в случае когда злоумышленники могут загрузить свой PHP-код на сервер (например, для продолжения атаки после эксплуатации уязвимостей (https://www.opennet.ru/opennews/art.shtml?num=49641) в плагинах для загрузки пользовательских файлов). Уязвимость также может применяться для атаки на webmail-клиенты, позволяющие установить произвольное имя imap-сервера и передающих его в вызов imap_open без дополительной проверки.
Суть проблемы в том, что функция imap_open, через которую осуществляется открытие соединения с IMAP-сервером, позволяет указать дополнительные параметры для обращения к почтовому ящику по сети. Возможно обращение к почтовому ящику на удалённом хосте не только с использованием протокола IMAP, но и по SSH (вызывается команда rsh, но в большинстве дистрибутивов она перенаправлена на ssh), которому можно передать дополнительные параметры, в том числе через указание опции "-oProxyCommand=" можно определить команду для запуска прокси. Вместо прокси можно указать любой код, который будет выполнен при вызове функции imap_open. Для блокирования уязвимости в новых выпусках по умолчанию отключено (https://github.com/php/php-src/commit/3a144d3f7f6bad308e2bf1...) обращение imap_open по rsh/ssh (imap.enable_insecure_rsh=false).
Концептуальный прототип эксплоита (https://github.com/Bo0oM/PHP_imap_open_exploit/blob/master/e...):
$server = "x -oProxyCommand=echo\tZWNobyAnMTIzNDU2Nzg5MCc+L3RtcC90ZXN0MDAwMQo=|base64\t-d|sh}";
imap_open('{'.$server.':143/imap}INBOX', '', '') or die("\n\nError: ".imap_last_error());
Кроме того, раскрыты сведения об уязвимости (https://www.debian.org/security/2018/dsa-4351) (CVE-2018-19296 (https://security-tracker.debian.org/tracker/CVE-2018-19296)) в PHPMailer (https://github.com/PHPMailer/PHPMailer/), популярной библиотеке для организации отправки электронный писем из приложений на языке PHP, число пользователей которой оценивается в 9 миллионов (используется в WordPress, Drupal, 1CRM, SugarCRM, Yii и Joomla). Уязвимость позволяет организовать выполнение кода через подстановку ссылки на phar-файл в составе пути, например, при отправке письма с вложением. Устраняющее проблему исправление (https://github.com/PHPMailer/PHPMailer/commit/f1231a9771505f...) включено в состав релиза PHPMailer 6.0.6.
Полученный путь проверяется при помощи функции file_exists(), которая автоматически выполняет десериализацию метаданных из файлов Phar (PHP Archive), что позволяет применить технику атаки "Phar deserialization (https://blog.ripstech.com/2018/new-php-exploitation-technique/)". Организовав загрузку специально оформленного Phar-файла под видом вложения, злоумышленник может добиться выполнения своего кода на сервере. Так как функция file_exists() определяет MIME-тип по содержимому, а не по расширению, возможна передача phar-файла под видом картинки (напирмер, phar-файл будет разобран, если его передать как evil.jpg). Похожая уязвимость недавно была выявлена (https://www.opennet.ru/opennews/art.shtml?num=49641) в phpBB.
URL: https://www.openwall.com/lists/oss-security/2018/12/05/2
Новость: https://www.opennet.ru/opennews/art.shtml?num=49746
