Avisos 10 de May, 2012

Actualització de PHP 5.4.3 i 5.3.13

La organització PHP Group ha publicat una actualització per a la seva implementació del llenguatge PHP, per solucionar dues vulnerabilitats. Una d'elles, que afecta solament al mode PHP-CGI, permet l'execució remota de codi PHP i està sent explotada activament.

Recursos afectats:
PHP 5.3.12 i versions anteriors.
 PHP 5.4.2 i versions anteriors.
 
Les vulnerabilitats CVE-2012-1823 i CVE-2012-2311 afecten només a servidors configurats per a executar PHP en mode CGI. Els servidors Apache + mod_php no estan afectats, i tampoc els que utilitzin FastCGI.
 
Per comprovar si un servidor està afectat per la vulnerabilitat a PHP-CGI, només cal fer una petició del tipus:
 http://www.domini.cat/?-s
Si la resposta del servidor web mostra el codi font de la pàgina, significa que el servidor és vulnerable.


Impacte: Execució de codi i revelació d'informació.

Solució:

Actualitzar a una de les noves versions públiques del producte afectat (5.3.13 i 5.4.3). Es recomana utilitzar els sistemes de gestió de paquets de les principals distribucions, encara que és possible descarregar els fitxers binaris de la nova versió des de la seva pàgina oficial de PHP.
 
Com a mesura de mitigació alternativa, si no es pot actualitzar, el fabricant proposa les regles del mòdul mod_rewrite d'Apache per bloquejar les URLs malicioses:
 RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]
Una altra recomanació general és utilitzar el mòdul Suhosin de fortificació de PHP, que incrementa el nivell general de la seguretat dels servidors PHP i dificulta l'explotació d'aquestes i altres vulnerabilitats futures.


Detall:

Les vulnerabilitats solucionades són:
 CVE-2012-1823: vulnerabilitat en el tractament i validació de paràmetres a les peticions a scripts PHP executats en mode CGI. Un atacant remot, sense necessitat d'autenticació podria executar codi PHP arbitrari i accedir al codi font de l'aplicació.
 CVE-2012-2311: nou identificador associat a la vulnerabilitat anterior per a les versions 5.3.12 i 5.4.2, que la solució inicial per CVE-2012-1823 inclosa en aquestes versions era incompleta.
 CVE-2012-2329: desbordament de memòria intermèdia a la funció apache_request_headers (). Afecta només a la branca PHP 5.4.
 


Refs:

Avís de publicació de la nova versió a la pàgina web oficial de PHP http://www.php.net/archive/2012.php#id2012-05-08-1

Avís de seguretat dels investigadors originals. http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/

Pàgina del projecte Suhosin http://www.hardened-php.net/suhosin/
 

Publicat a: Avisos