banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI  XML
  [News]   ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI 08/05/2012 09:56:54 (+0700) | #1 | 262705
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI khiến lộ mã nguồn website

Một chuyên gia bảo mật người Hà Lan đã tìm thấy một lỗi nghiêm trọng của PHP-CGI mà có thể được kẻ tấn công thực thi từ xa khiến mã nguồn của website bị lộ.

Trong một bài viết [1] được đăng tải lên trang blog cá nhân của mình vào ngày 3/5/2012, Eindbazennói rằng trong khi chơi giải đấu Nullcon CTF, nhóm của anh ta đã để ý thấy nếu họ nhập vào một chuỗi truy vấn là “?-s” thì kết quả là một đối số dòng lệnh (command line argument) “-s” được truyền cho PHP và dẫn đến làm lộ mã nguồn. Sau đó họ phân tích kĩ hơn lỗi này thì thấy mã khai thác có thể được cải tiến để có thể được thực thi từ xa (remote code execution).

Đặc biệt nghiêm trọng hơn khi họ phát hiện ra rằng lỗi này có trong PHP tẩt cả các phiên bản kể từ năm 2004 tới nay, nhóm phát triển PHP rõ ràng đã bỏ quên một phần quan trọng về script command line trong tài liệu RFC của CGI.

Lỗ hổng này được khám phá vào ngày 13/1 và vài ngày sau đó nhóm PHP cũng nhận được thông báo về sự tồn tại của nó. Vào đầu tháng 2, CERT cũng được nhận được thông báo này và kể từ đó nhóm PHP đã làm việc để sớm cung cấp bản vá lỗi.

Vào ngày 2 tháng 5, CERT đã trao đổi với nhóm của Eindbazen rằng PHP cần thêm thời gian để khắc phục vấn đề và họ đã đồng ý không công bố lỗ hổng này nhưng thật không may, ai đó đã làm rỏ rỉ thông tin và chi tiết về lỗi đã được đăng tải trên mạng Reddit. Chính vì sự cố này mà Eindbazen đã quyết định công khai lỗi trên blog của mình vào ngày 3/5.

Hiện tại vẫn chưa có bản vá chính thức và hoàn chỉnh từ PHP dành cho các phiên bản gần đây nhấtlà 5.4.2 và 5.3.12. Trong khi chờ đợi thì nhóm của Eindbazen cũng đưa ra vài các khắc phục tạm thời. Lỗi này chỉ ảnh hưởng tới các bản cài đặt CGI cổ điển, còn các máy chủ chạy FastCGI là an toàn.
(Theo Softpedia.com) [2]

Tham khảo thêm về cách tạm vá lỗi này tại:
[1] PHP-CGI advisory (CVE-2012-1823)
http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/
[2] PHP-CGI Flaw from 2004 Leads to Remote Code Disclosure and Execution
http://news.softpedia.com/news/PHP-CGI-Code-Execution-Flaw-from-2004-Leads-to-Code-Disclosure-267589.shtml

Phóng viên - Manthang
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [News]   ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI 09/05/2012 17:34:47 (+0700) | #2 | 262822
acenux
Member

[Minus]    0    [Plus]
Joined: 26/02/2012 19:52:32
Messages: 12
Offline
[Profile] [PM]
Hiện tại ngay cả Facebook cũng chưa fix lỗi này trên sever của họ :

Code:
http://news.softpedia.com/news/Facebook-Partially-Vulnerable-to-PHP-CGI-Bug-Security-Expert-Finds-267689.shtml


Nếu truy cập http://www.facebook/?-s thì ra
Code:
<?php

include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS';
[Up] [Print Copy]
  [News]   ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI 09/05/2012 20:59:07 (+0700) | #3 | 262838
[Avatar]
WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline
[Profile] [PM]

acenux wrote:
Hiện tại ngay cả Facebook cũng chưa fix lỗi này trên sever của họ :

Code:
http://news.softpedia.com/news/Facebook-Partially-Vulnerable-to-PHP-CGI-Bug-Security-Expert-Finds-267689.shtml


Nếu truy cập http://www.facebook/?-s thì ra
Code:
<?php

include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS';
 

LOL :trolled: by facebook.

Chỉ là trò đùa của facebook thôi smilie
-- w~ --
[Up] [Print Copy]
  [News]   ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI 09/05/2012 23:29:21 (+0700) | #4 | 262848
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
US-CERT Vulnerability Note VU#520827 - PHP-CGI query string parameter vulnerability
http://www.kb.cert.org/vuls/id/520827

Impact
A remote unauthenticated attacker could obtain sensitive information, cause a denial of service condition or may be able to execute arbitrary code with the privileges of the web server.
Solution:

Apply update

PHP has released version 5.4.3 and 5.3.13 to address this vulnerability. PHP is recommending that users upgrade to the latest version of PHP.

PHP has stated, PHP 5.3.12/5.4.2 do not fix all variations of the CGI issues described in CVE-2012-1823. It has also come to our attention that some sites use an insecure cgiwrapper script to run PHP. These scripts will use $* instead of "$@" to pass parameters to php-cgi which causes a number of issues.

Apply mod_rewrite rule

PHP has stated an alternative is to configure your web server to not let these types of requests with query strings starting with a "-" and not containing a "=" through. Adding a rule like this should not break any sites. For Apache using mod_rewrite it would look like this:
Code:
RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [News]   ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI 10/05/2012 05:13:22 (+0700) | #5 | 262855
acenux
Member

[Minus]    0    [Plus]
Joined: 26/02/2012 19:52:32
Messages: 12
Offline
[Profile] [PM]

WinDak wrote:

LOL :trolled: by facebook.

Chỉ là trò đùa của facebook thôi smilie 


Nhìn kĩ lại mới thấy là đùa. Troll kiểu này ác thật smilie .
[Up] [Print Copy]
  [News]   ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI 11/05/2012 19:49:50 (+0700) | #6 | 262998
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]
lỗ hổng này đã được nhóm PHP khắc phục.
người dùng cần nâng cấp lên các phiên bản mới nhất là PHP 5.4.3 và PHP 5.3.13

Chi tiết xem tại: http://www.php.net/archive/2012.php#id2012-05-08-1
keep -security- in -mind-
[Up] [Print Copy]
  [News]   ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI 16/05/2012 04:27:00 (+0700) | #7 | 263259
ITbaby
Member

[Minus]    0    [Plus]
Joined: 03/12/2003 06:26:48
Messages: 4
Offline
[Profile] [PM]

manthang wrote:
lỗ hổng này đã được nhóm PHP khắc phục.
người dùng cần nâng cấp lên các phiên bản mới nhất là PHP 5.4.3 và PHP 5.3.13

Chi tiết xem tại: http://www.php.net/archive/2012.php#id2012-05-08-1 


Diễn đàn của em sử dụng php 5.3.8 khi em nhập các đối số thì không thấy ra source . Vậy có phải cần thiết liên hệ bên cung cấp nâng cấp php lên không anh ạ !
[Up] [Print Copy]
  [News]   ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI 16/05/2012 05:38:00 (+0700) | #8 | 263261
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]

ITbaby wrote:

manthang wrote:
lỗ hổng này đã được nhóm PHP khắc phục.
người dùng cần nâng cấp lên các phiên bản mới nhất là PHP 5.4.3 và PHP 5.3.13

Chi tiết xem tại: http://www.php.net/archive/2012.php#id2012-05-08-1 


Diễn đàn của em sử dụng php 5.3.8 khi em nhập các đối số thì không thấy ra source . Vậy có phải cần thiết liên hệ bên cung cấp nâng cấp php lên không anh ạ ! 


Lỗi này chỉ xảy ra nếu bạn cài đặt PHP trong chế độ CGI-based mà thôi.
Còn như trong link trên có đề cập: "mod_php and php-fpm are not vulnerable to this attack."
--> Cài theo dạng mod_php và php-fpm thì không bị ảnh hưởng bởi lỗi này.

Dẫu sao thì bạn vẫn nên cập nhật ngay PHP nên phiên bản mới nhất nếu việc cập nhật này không làm ảnh hưởng hay gián đoạn quá nhiều tới hoạt động của hệ thống của bạn.
keep -security- in -mind-
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|