<![CDATA[Latest posts for the topic "( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI"]]> /hvaonline/posts/list/13.html JForum - http://www.jforum.net ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI khiến lộ mã nguồn website Một chuyên gia bảo mật người Hà Lan đã tìm thấy một lỗi nghiêm trọng của PHP-CGI mà có thể được kẻ tấn công thực thi từ xa khiến mã nguồn của website bị lộ. Trong một bài viết [1] được đăng tải lên trang blog cá nhân của mình vào ngày 3/5/2012, Eindbazennói rằng trong khi chơi giải đấu Nullcon CTF, nhóm của anh ta đã để ý thấy nếu họ nhập vào một chuỗi truy vấn là “?-s” thì kết quả là một đối số dòng lệnh (command line argument) “-s” được truyền cho PHP và dẫn đến làm lộ mã nguồn. Sau đó họ phân tích kĩ hơn lỗi này thì thấy mã khai thác có thể được cải tiến để có thể được thực thi từ xa (remote code execution). Đặc biệt nghiêm trọng hơn khi họ phát hiện ra rằng lỗi này có trong PHP tẩt cả các phiên bản kể từ năm 2004 tới nay, nhóm phát triển PHP rõ ràng đã bỏ quên một phần quan trọng về script command line trong tài liệu RFC của CGI. Lỗ hổng này được khám phá vào ngày 13/1 và vài ngày sau đó nhóm PHP cũng nhận được thông báo về sự tồn tại của nó. Vào đầu tháng 2, CERT cũng được nhận được thông báo này và kể từ đó nhóm PHP đã làm việc để sớm cung cấp bản vá lỗi. Vào ngày 2 tháng 5, CERT đã trao đổi với nhóm của Eindbazen rằng PHP cần thêm thời gian để khắc phục vấn đề và họ đã đồng ý không công bố lỗ hổng này nhưng thật không may, ai đó đã làm rỏ rỉ thông tin và chi tiết về lỗi đã được đăng tải trên mạng Reddit. Chính vì sự cố này mà Eindbazen đã quyết định công khai lỗi trên blog của mình vào ngày 3/5. Hiện tại vẫn chưa có bản vá chính thức và hoàn chỉnh từ PHP dành cho các phiên bản gần đây nhấtlà 5.4.2 và 5.3.12. Trong khi chờ đợi thì nhóm của Eindbazen cũng đưa ra vài các khắc phục tạm thời. Lỗi này chỉ ảnh hưởng tới các bản cài đặt CGI cổ điển, còn các máy chủ chạy FastCGI là an toàn. (Theo Softpedia.com) [2] Tham khảo thêm về cách tạm vá lỗi này tại: [1] PHP-CGI advisory (CVE-2012-1823) http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/ [2] PHP-CGI Flaw from 2004 Leads to Remote Code Disclosure and Execution http://news.softpedia.com/news/PHP-CGI-Code-Execution-Flaw-from-2004-Leads-to-Code-Disclosure-267589.shtml Phóng viên - Manthang]]> /hvaonline/posts/list/42195.html#262705 /hvaonline/posts/list/42195.html#262705 GMT ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI Code:
http://news.softpedia.com/news/Facebook-Partially-Vulnerable-to-PHP-CGI-Bug-Security-Expert-Finds-267689.shtml
Nếu truy cập http://www.facebook/?-s thì ra Code:
<?php

include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS';
]]>
/hvaonline/posts/list/42195.html#262822 /hvaonline/posts/list/42195.html#262822 GMT
( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI

acenux wrote:
Hiện tại ngay cả Facebook cũng chưa fix lỗi này trên sever của họ : Code:
http://news.softpedia.com/news/Facebook-Partially-Vulnerable-to-PHP-CGI-Bug-Security-Expert-Finds-267689.shtml
Nếu truy cập http://www.facebook/?-s thì ra Code:
<?php

include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS';
 
LOL :trolled: by facebook. Chỉ là trò đùa của facebook thôi ;)]]>
/hvaonline/posts/list/42195.html#262838 /hvaonline/posts/list/42195.html#262838 GMT
( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI http://www.kb.cert.org/vuls/id/520827 Impact A remote unauthenticated attacker could obtain sensitive information, cause a denial of service condition or may be able to execute arbitrary code with the privileges of the web server. Solution: Apply update PHP has released version 5.4.3 and 5.3.13 to address this vulnerability. PHP is recommending that users upgrade to the latest version of PHP. PHP has stated, PHP 5.3.12/5.4.2 do not fix all variations of the CGI issues described in CVE-2012-1823. It has also come to our attention that some sites use an insecure cgiwrapper script to run PHP. These scripts will use $* instead of "$@" to pass parameters to php-cgi which causes a number of issues. Apply mod_rewrite rule PHP has stated an alternative is to configure your web server to not let these types of requests with query strings starting with a "-" and not containing a "=" through. Adding a rule like this should not break any sites. For Apache using mod_rewrite it would look like this: Code:
RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]
]]>
/hvaonline/posts/list/42195.html#262848 /hvaonline/posts/list/42195.html#262848 GMT
( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI

WinDak wrote:
LOL :trolled: by facebook. Chỉ là trò đùa của facebook thôi ;) 
Nhìn kĩ lại mới thấy là đùa. Troll kiểu này ác thật :D .]]>
/hvaonline/posts/list/42195.html#262855 /hvaonline/posts/list/42195.html#262855 GMT
( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI /hvaonline/posts/list/42195.html#262998 /hvaonline/posts/list/42195.html#262998 GMT ( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI

manthang wrote:
lỗ hổng này đã được nhóm PHP khắc phục. người dùng cần nâng cấp lên các phiên bản mới nhất là PHP 5.4.3 và PHP 5.3.13 Chi tiết xem tại: http://www.php.net/archive/2012.php#id2012-05-08-1 
Diễn đàn của em sử dụng php 5.3.8 khi em nhập các đối số thì không thấy ra source . Vậy có phải cần thiết liên hệ bên cung cấp nâng cấp php lên không anh ạ !]]>
/hvaonline/posts/list/42195.html#263259 /hvaonline/posts/list/42195.html#263259 GMT
( HVA News ) Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI

ITbaby wrote:

manthang wrote:
lỗ hổng này đã được nhóm PHP khắc phục. người dùng cần nâng cấp lên các phiên bản mới nhất là PHP 5.4.3 và PHP 5.3.13 Chi tiết xem tại: http://www.php.net/archive/2012.php#id2012-05-08-1 
Diễn đàn của em sử dụng php 5.3.8 khi em nhập các đối số thì không thấy ra source . Vậy có phải cần thiết liên hệ bên cung cấp nâng cấp php lên không anh ạ ! 
Lỗi này chỉ xảy ra nếu bạn cài đặt PHP trong chế độ CGI-based mà thôi. Còn như trong link trên có đề cập: "mod_php and php-fpm are not vulnerable to this attack." --> Cài theo dạng mod_php và php-fpm thì không bị ảnh hưởng bởi lỗi này. Dẫu sao thì bạn vẫn nên cập nhật ngay PHP nên phiên bản mới nhất nếu việc cập nhật này không làm ảnh hưởng hay gián đoạn quá nhiều tới hoạt động của hệ thống của bạn.]]>
/hvaonline/posts/list/42195.html#263261 /hvaonline/posts/list/42195.html#263261 GMT