Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

PHP-CGI távoli kódfuttatás

2012.05.03. 17:02 | buherator | 3 komment

Az Eindbazen csapata a Nullcon CTF versenyén fedezett fel egy távoli kódfuttatásra alkalmas hibát a PHP CGI burkolójában. A problémát jelentették a PHP biztonsági csapatának, a hibajegy azonban véletlenül még a javítás előtt nyilvánosságra került

A probléma egy 2004-es módosításból adódik, ami a CGI specifikációnak nem megfelelő módon dolgozza fel az "=" nélküli URL paramétereket. Amennyiben nem történik értékadás, a '?' utáni sztringek gyakorlatilag egy az egyben a php-cgi szkript parancssori argumentumaiként kerülnek átadásra, innentől pedig nem tűnik nagyon nehéznek a kódfuttatás elérése, annak ellenére, hogy a -r kapcsoló és társai a környezeti változók beállításai miatt nem használhatók. PoC egyelőre nem került ki - nekem pedig még nem volt időm a problémával foglalkozni - ha fejlemény van, frissítem a posztot. 

Workaround/patch az Eindbazen oldalán található.

Friss: Metasploit modul elkészült. A PHP által kiadott 5.4.2/5.3.12 nem javítja a problémát! A frissítéssel célszerű megvárnia  következő, várhatóan még a nap folyamán megérkező 5.4.3/5.3.13-at. Elkerülő megoldás Apache-hoz:

    RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
    RewriteRule ^(.*) $1? [L]

Friss2: jogosnak tűnő kérdés, hogy 2012-ben mégis hol használnak ilyen konfigurációt? Nos, például a Sony-nál... (via Tyra3l)

Friss (május 8.): Végre valahára megjelent a hivatalos javított verzió.

Krasznay Csabának pedig gratulálunk doktori védéséhez :)

Címkék: php bug 0day cgi eindbazen

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Tyra3l 2012.05.04. 00:30:04

ugy tunik, hogy a kiadott javitas ujfent nem tokeletes, lasd a linkelt postban az updatet.
tovabbi adalek, hogy az elkapkodott kiadas annak koszonheto, hogy a bugtrackerben egy hiba folytan kiment publicba a hibajegy.
ja, es valaki masnak is szemet szurt, amit mar februarban reportoltam, hogy a private/security hibajegyeknel is elerhetoek bizonyos informaciok barki szamara (summary, Submitted, Modified, From, Assigned, Status, Package, PHP version, OS,
CVE-ID)

szoval semmi kulonos, csak a szokasos. :)

Mr. X 2012.05.04. 21:55:32

www.facebook.com/?-s

ha lesz is patch, mikorra fogják alkalmazni vajon mindenhol?

Tyra3l 2012.05.05. 00:52:51

igen, a facebook-os marketingfogas jopofa, elkezdte atvenni par mas oldal is, legalabbis napkozben twitteren tobb poenos linket is lattam.
azert mezei cgi-t viszonylag keves helyen hasznalnak, ahol megis, ott az eindbazen.net-es mod_rewrite, vagy php patch alkalmazasaval mitigalhato a problema.
ugy tudtam hogy lesz majd hivatalos javitas (marmint ezuttal jo esetben olyan, ami mukodik is) is, de eddig nem jott ki, most meg mar punnyadas meg hetvege van, szoval nem tudom, hogy mikorra lesz belole valami.

Tyrael