Az Eindbazen csapata a Nullcon CTF versenyén fedezett fel egy távoli kódfuttatásra alkalmas hibát a PHP CGI burkolójában. A problémát jelentették a PHP biztonsági csapatának, a hibajegy azonban véletlenül még a javítás előtt nyilvánosságra került. 

A probléma egy 2004-es módosításból adódik, ami a CGI specifikációnak nem megfelelő módon dolgozza fel az "=" nélküli URL paramétereket. Amennyiben nem történik értékadás, a '?' utáni sztringek gyakorlatilag egy az egyben a php-cgi szkript parancssori argumentumaiként kerülnek átadásra, innentől pedig nem tűnik nagyon nehéznek a kódfuttatás elérése, annak ellenére, hogy a -r kapcsoló és társai a környezeti változók beállításai miatt nem használhatók. PoC egyelőre nem került ki - nekem pedig még nem volt időm a problémával foglalkozni - ha fejlemény van, frissítem a posztot. 

Workaround/patch az Eindbazen oldalán található.

Friss: Metasploit modul elkészült. A PHP által kiadott 5.4.2/5.3.12 nem javítja a problémát! A frissítéssel célszerű megvárnia  következő, várhatóan még a nap folyamán megérkező 5.4.3/5.3.13-at. Elkerülő megoldás Apache-hoz:

    RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
    RewriteRule ^(.*) $1? [L]

Friss2: jogosnak tűnő kérdés, hogy 2012-ben mégis hol használnak ilyen konfigurációt? Nos, például a Sony-nál... (via Tyra3l)

Friss (május 8.): Végre valahára megjelent a hivatalos javított verzió.

Krasznay Csabának pedig gratulálunk doktori védéséhez :)