Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/05/2012
Greu vulnerabilitat en PHP-CGI
S’ha descobert una vulnerabilitat en PHP-CGI que possibilita el pas de paràmetres a l’intèrpret, cosa que permet l’execució de codi arbitrari i la revelació d’informació confidencial.Eindbazen, un equip de competicions CTF, ha descobert una vulnerabilitat en PHP-CGI que permet passar paràmetres a l’intèrpret de PHP, com ara -s o -r, a través de la URL. Per exemple, afegint la cadena '?-s'.
Com a resultat de la injecció d’estos paràmetres en la URL, es pot mostrar el contingut d’arxius de codi font (que pot incloure informació confidencial, per exemple contrasenyes de BD) o executar codi PHP arbitrari.
Encara que el paràmetre '-r', per a executar codi PHP, és filtrat en php5-cgi, depenent de les variables d’entorn, esta mesura de seguretat pot evitar-se.
PHP va eliminar per error el codi que protegia davant d’este problema en 2004.
FastCGI no es vulnerable.
Impacte:
- Execució de codi maliciós.
- Revelació d’informació confidencial.
Servidors web amb PHP executant-se com a CGI.
Referències:CVE-2012-1823
Solució:Ja hi ha mòduls de la ferramenta de pentesting i hacking metasploit que permeten explotar esta vulnerabilitat, per tant recomana actualitzar com més prompte millor. Es pot fer a través del codi font, encara que es recomana instal·lar-ho a través dels mecanismes d’actualització de paquets de Linux. Per a sistemes Windows, es pot descarregar del web <http://windows.php.net/download/>.
Com a alternativa, si no es pot actualitzar, el fabricant proposa les següents regles del mòdul mod-rewrite d’Apache per a bloquejar les URL malicioses:
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]
Eindbazen PHP-CGI advisory (CVE-2012-1823)