( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thông tin new bugs và exploits

( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI

[News] ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI	08/05/2012 09:56:54 (+0700) \| #1 \| 262705

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI khiến lộ mã nguồn website

Một chuyên gia bảo mật người Hà Lan đã tìm thấy một lỗi nghiêm trọng của PHP-CGI mà có thể được kẻ tấn công thực thi từ xa khiến mã nguồn của website bị lộ.

Trong một bài viết [1] được đăng tải lên trang blog cá nhân của mình vào ngày 3/5/2012, Eindbazennói rằng trong khi chơi giải đấu Nullcon CTF, nhóm của anh ta đã để ý thấy nếu họ nhập vào một chuỗi truy vấn là “?-s” thì kết quả là một đối số dòng lệnh (command line argument) “-s” được truyền cho PHP và dẫn đến làm lộ mã nguồn. Sau đó họ phân tích kĩ hơn lỗi này thì thấy mã khai thác có thể được cải tiến để có thể được thực thi từ xa (remote code execution).

Đặc biệt nghiêm trọng hơn khi họ phát hiện ra rằng lỗi này có trong PHP tẩt cả các phiên bản kể từ năm 2004 tới nay, nhóm phát triển PHP rõ ràng đã bỏ quên một phần quan trọng về script command line trong tài liệu RFC của CGI.

Lỗ hổng này được khám phá vào ngày 13/1 và vài ngày sau đó nhóm PHP cũng nhận được thông báo về sự tồn tại của nó. Vào đầu tháng 2, CERT cũng được nhận được thông báo này và kể từ đó nhóm PHP đã làm việc để sớm cung cấp bản vá lỗi.

Vào ngày 2 tháng 5, CERT đã trao đổi với nhóm của Eindbazen rằng PHP cần thêm thời gian để khắc phục vấn đề và họ đã đồng ý không công bố lỗ hổng này nhưng thật không may, ai đó đã làm rỏ rỉ thông tin và chi tiết về lỗi đã được đăng tải trên mạng Reddit. Chính vì sự cố này mà Eindbazen đã quyết định công khai lỗi trên blog của mình vào ngày 3/5.

Hiện tại vẫn chưa có bản vá chính thức và hoàn chỉnh từ PHP dành cho các phiên bản gần đây nhấtlà 5.4.2 và 5.3.12. Trong khi chờ đợi thì nhóm của Eindbazen cũng đưa ra vài các khắc phục tạm thời. Lỗi này chỉ ảnh hưởng tới các bản cài đặt CGI cổ điển, còn các máy chủ chạy FastCGI là an toàn.
(Theo Softpedia.com) [2]

Tham khảo thêm về cách tạm vá lỗi này tại:
[1] PHP-CGI advisory (CVE-2012-1823)
http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/
[2] PHP-CGI Flaw from 2004 Leads to Remote Code Disclosure and Execution
http://news.softpedia.com/news/PHP-CGI-Code-Execution-Flaw-from-2004-Leads-to-Code-Disclosure-267589.shtml

Phóng viên - Manthang

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[News] ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI	09/05/2012 17:34:47 (+0700) \| #2 \| 262822

acenux
Member

Joined: 26/02/2012 19:52:32
Messages: 12
Offline

Hiện tại ngay cả Facebook cũng chưa fix lỗi này trên sever của họ :

Code:

http://news.softpedia.com/news/Facebook-Partially-Vulnerable-to-PHP-CGI-Bug-Security-Expert-Finds-267689.shtml

Nếu truy cập http://www.facebook/?-s thì ra
Code:

<?php

include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS';

[News] ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI	09/05/2012 20:59:07 (+0700) \| #3 \| 262838

WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline

acenux wrote:

Hiện tại ngay cả Facebook cũng chưa fix lỗi này trên sever của họ :

Code:
http://news.softpedia.com/news/Facebook-Partially-Vulnerable-to-PHP-CGI-Bug-Security-Expert-Finds-267689.shtml
Nếu truy cập http://www.facebook/?-s thì ra
Code:
<?php

include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS';

LOL :trolled: by facebook.

Chỉ là trò đùa của facebook thôi smilie

-- w~ --

[News] ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI	09/05/2012 23:29:21 (+0700) \| #4 \| 262848

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

US-CERT Vulnerability Note VU#520827 - PHP-CGI query string parameter vulnerability
http://www.kb.cert.org/vuls/id/520827

Impact
A remote unauthenticated attacker could obtain sensitive information, cause a denial of service condition or may be able to execute arbitrary code with the privileges of the web server.
Solution:

Apply update

PHP has released version 5.4.3 and 5.3.13 to address this vulnerability. PHP is recommending that users upgrade to the latest version of PHP.

PHP has stated, PHP 5.3.12/5.4.2 do not fix all variations of the CGI issues described in CVE-2012-1823. It has also come to our attention that some sites use an insecure cgiwrapper script to run PHP. These scripts will use $* instead of "$@" to pass parameters to php-cgi which causes a number of issues.

Apply mod_rewrite rule

PHP has stated an alternative is to configure your web server to not let these types of requests with query strings starting with a "-" and not containing a "=" through. Adding a rule like this should not break any sites. For Apache using mod_rewrite it would look like this:
Code:

RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[News] ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI	10/05/2012 05:13:22 (+0700) \| #5 \| 262855

acenux
Member

Joined: 26/02/2012 19:52:32
Messages: 12
Offline

WinDak wrote:

LOL :trolled: by facebook.

Chỉ là trò đùa của facebook thôi

Nhìn kĩ lại mới thấy là đùa. Troll kiểu này ác thật smilie

[News] ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI	11/05/2012 19:49:50 (+0700) \| #6 \| 262998

manthang
Journalist

Joined: 30/06/2008 16:36:58
Messages: 140
Offline

lỗ hổng này đã được nhóm PHP khắc phục.
người dùng cần nâng cấp lên các phiên bản mới nhất là PHP 5.4.3 và PHP 5.3.13

Chi tiết xem tại: http://www.php.net/archive/2012.php#id2012-05-08-1

keep -security- in -mind-

[News] ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI	16/05/2012 04:27:00 (+0700) \| #7 \| 263259

ITbaby
Member

Joined: 03/12/2003 06:26:48
Messages: 4
Offline

manthang wrote:

lỗ hổng này đã được nhóm PHP khắc phục.
người dùng cần nâng cấp lên các phiên bản mới nhất là PHP 5.4.3 và PHP 5.3.13

Chi tiết xem tại: http://www.php.net/archive/2012.php#id2012-05-08-1

Diễn đàn của em sử dụng php 5.3.8 khi em nhập các đối số thì không thấy ra source . Vậy có phải cần thiết liên hệ bên cung cấp nâng cấp php lên không anh ạ !

[News] ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI	16/05/2012 05:38:00 (+0700) \| #8 \| 263261

manthang
Journalist

Joined: 30/06/2008 16:36:58
Messages: 140
Offline

ITbaby wrote:

manthang wrote:

lỗ hổng này đã được nhóm PHP khắc phục.
người dùng cần nâng cấp lên các phiên bản mới nhất là PHP 5.4.3 và PHP 5.3.13

Chi tiết xem tại: http://www.php.net/archive/2012.php#id2012-05-08-1

Diễn đàn của em sử dụng php 5.3.8 khi em nhập các đối số thì không thấy ra source . Vậy có phải cần thiết liên hệ bên cung cấp nâng cấp php lên không anh ạ !

Lỗi này chỉ xảy ra nếu bạn cài đặt PHP trong chế độ CGI-based mà thôi.
Còn như trong link trên có đề cập: "mod_php and php-fpm are not vulnerable to this attack."
--> Cài theo dạng mod_php và php-fpm thì không bị ảnh hưởng bởi lỗi này.

Dẫu sao thì bạn vẫn nên cập nhật ngay PHP nên phiên bản mới nhất nếu việc cập nhật này không làm ảnh hưởng hay gián đoạn quá nhiều tới hoạt động của hệ thống của bạn.

keep -security- in -mind-

Go to:

Users currently in here
1 Anonymous