| [News] Xuất hiện mã khai thác từ xa lỗi 0-day mới của PHP 5.4.3 trên Windows |
19/05/2012 21:46:56 (+0700) | #1 | 263574 |
![[Avatar]](/hvaonline/images/avatar/57272dfaf231392df67b92de6b865883.jpg "[Avatar]")
|
manthang
Journalist
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
|
|
Xuất hiện mã khai thác từ xa lỗi 0-day mới của PHP 5.4.3 trên Windows
Vào hôm qua 18/05, một thành viên có nickname là 0in đã gửi lên trang packetstormsecurity.org một mã khai thác từ xa (remote exploit) lợi dụng lỗ hổng trong hàm com_print_typeinfo của PHP phiên bản 5.4.3 dành cho nền tảng Windows. Trong phần ghi chú, 0in là tác giả của mã khai thác này cho biết, anh ta đã thử nghiệm thành công trên máy Windows XP SP3 được cập nhật đầy đủ các bản vá. Và kết quả là PHP engine sẽ thực thi bất kỳ shellcode nào được chứa trong mã khai thác này.
Hiện vẫn chưa có thông báo và bản vá lỗi chính thức nào từ nhóm phát triển PHP cho lỗi 0-day mới nhất này, nhưng dưới đây là một số biện pháp để hạn chế các rủi ro khác:
• Chặn tất cả các chức năng upload file trong các ứng dụng PHP.
• Sử dụng IPS để lọc các shellcode đã được biết đến, ví dụ các shellcode có trong Metasploit.
• Cập nhật PHP lên phiên bản mới nhất để phòng chống các lỗ hổng khác như CVE-2012-2336 được công bố vào đầu tháng này.
• Sử dụng Host-IPS để chặn bất kỳ các lỗi buffer overflow có thể có trong hệ thống.
(Theo Internet Storm Center (ISC))
Manthang - HVA News
Tham khảo:
http://isc.sans.edu/diary/PHP+5+4+Remote+Exploit+PoC+in+the+wild
http://packetstormsecurity.org/files/112851
|
|
| keep -security- in -mind- |
|
 |
|
| [News] Xuất hiện mã khai thác từ xa lỗi 0-day mới của PHP 5.4.3 trên Windows |
20/05/2012 01:04:00 (+0700) | #2 | 263579 |
![[Avatar]](/hvaonline/images/avatar/4dd20f1e87dfb889bc97230e2c87c6a5.png "[Avatar]")
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
|
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
| [News] Xuất hiện mã khai thác từ xa lỗi 0-day mới của PHP 5.4.3 trên Windows |
23/05/2012 12:54:16 (+0700) | #3 | 263850 |
novadq
Member
|
|
0 |
|
|
Joined: 13/06/2011 02:54:16
Messages: 9
Offline
|
|
| Các anh có thể giải thích về cơ chế lỗi được không ạ? |
|
|
| [News] Xuất hiện mã khai thác từ xa lỗi 0-day mới của PHP 5.4.3 trên Windows |
23/05/2012 16:28:05 (+0700) | #4 | 263884 |
![[Avatar]](/hvaonline/images/avatar/306d7e99c85256c7af4e95548cf5ab8b.jpg "[Avatar]")
|
quocbao9996
Member
|
|
0 |
|
|
Joined: 19/09/2011 20:34:11
Messages: 62
Location: 192.168.1.1
Offline
|
|
| Cho em hỏi mấy phiên bản PHP trước có bị ảnh hưởng không ạ, em xem link bài viết đưa mà không thấy có nói chuyện đó |
|
| Đây là cụm chữ được thêm vào cuối mỗi thông điệp của bạn. Cụm chữ này không bắt buộc phải có và chỉ giới hạn tối đa 255 chữ cái. |
|
| [News] Xuất hiện mã khai thác từ xa lỗi 0-day mới của PHP 5.4.3 trên Windows |
23/05/2012 18:14:40 (+0700) | #5 | 263894 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
Lỗi này hiện được ghi nhận ( theo các tài liệu ) là chỉ hiện diện trên phiên bản PHP 5.4.3 chạy trên nền Windows. Do lỗi này khai thác một điểm yếu gây "tràn bộ đệm" tại hàm com_print_typeinfo
http://openwall.com/lists/oss-security/2012/05/20/1 wrote:
There appears to be a buffer overflow in com_print_typeinfo(), it
appears to only affect PHP on Windows (COM object related).
Các bạn đọc mã khai thác PoC tại ( http://packetstormsecurity.org/files/112851 ) sẽ rõ
Thông tin về hàm "com_print_typeinfo" : http://php.net/manual/en/function.com-print-typeinfo.php
|
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
| Users currently in here |
|
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thông tin new bugs và exploits
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[MSN]](/hvaonline/templates/viet/images/icon_msnm.gif "[MSN]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")