17:36
3/2/2012

Poważna dziura w PHP 5.3.9

Pod koniec stycznia wydano PHP w wersji 5.3.9, aby poprawić ten błąd bezpieczeństwa. Jak się jednak okazuje, podczas łatania jednej dziury, wprowadzono drugą, i to o wiele gorszą. Właśnie wydano wersję PHP 5.3.10, która poprawia poprzednią poprawkę …i miejmy nadzieję, nie wprowadza kolejnych błędów.

RCE w PHP 5.3.9

Błąd z gatunku Remote Code Execution odnalazł Stefan Esser, który wziął się za analizę wprowadzonego do PHP 5.3.9 patcha na lukę opisywaną przez nas tutaj (DoS spowodowany kolizjami hashy).

yo-dawg-php

Patch na patcha!

Błąd znajdował się w kodzie związanym z nową opcją max_input_vars i można było z niego skorzystać przez 8 dni (wprowadzono go 24 stycznia, usunięto 2 lutego). Krótko mówiąć: problem z niedostępnością serwera załatano problemem z uruchomieniem dowolnego kodu po stronie serwera. Kiepski interes ;)

Zalecamy upgrade do PHP 5.3.10.

P.S. Na marginesie. Debian zdecydował nie włączać domyślnie Suhosin dla PHP.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

22 komentarzy

Dodaj komentarz
  1. Co ja patche ;<

    • co za niedopatchenie :(

  2. Rozwaliliście mnie tym jpegiem :D

  3. Ok. Trzeba walnąć update.

    • Instalujesz najnowsze wydania? to raczej nie jest dobre wyjście, m.in. z tego powodu Debian stable jest bezpieczny, nie działa na niego ostatni local root, nie działa również atak na sudo oraz php ;).

    • Ty to nieumyślny przestępca jesteś, jak konta tibii sprzedajesz ;-)

  4. “wprowadzono go 24 stycznia” – chyba raczej 10 stycznia z wersją 5.3.9?

  5. Stare polskie powiedzenie mówi: PHP ssie. Perl nie.

    • …tyle że prędzej zrozumiesz kod w brainf*cku niż w perlu.

      PYTHON FTW!

  6. Haditha Frank Wuterich Iraq in 2005, zmasakrował 24 cywilów, kobiety dzieci i ludzi na wózku

    Dane na temat pucket farraj – prawnika ktory wybronił mordercę
    i pełno innych rzeczy fbi:

    http://thepiratebay.se/user/antisecurity

    • te komentarze podobno są moderowane – temu chyba udało się przemknąć niezauważonym

  7. od dwóch lat używam WTW i jeszcze takiego błędu nie było. polecam się przenieść i nie martwić się na zapas

    • WTW? Ale o czym ty mówisz? WTW to przecież (multi)?komunikator, a PHP to język programowania… czy coś przeoczyłem?

    • Oj, mi też się czasem mylą te wszystkie skrótowce. Nietrudno pomylić WTW z PHP czy WWW z FTP, a już w ogóle PC z GG.

    • Ale nie tylko skrótowce się mylą. Pełne nazwy też.
      Niektórzy nagminnie mylą Facebooka z Internetem.
      Zwłaszcza w godzinach pracy, gdzie można korzystać z Internetu ;)

    • też używam WTW, ale nie przyszło mi do głowy żeby PHP zastąpić komunikatorem ;s

    • Po co się jakimiś głupimi PHP zajmować, jak można logować do html przepływ rozmów przez WTW i od razu na serwer to pakować.. strona jest – cel osiągnięty! :)

  8. Serwer niedostepny-zle. Mozliwosc wykonywania kodu-zle. I jak tu takim dogodzic? :>

  9. “Krótko mówiąć: problem z niedostępnością serwera załatano problemem z uruchomieniem dowolnego kodu po stronie serwera”. Błąd rzeczowy. Problemu z uruchomieniem kodu po stronie serwera nie było ;).

  10. Przez przypadek zrobiłem własny zliczacz zmiennych, który blokuje wywołanie skryptu po przekroczeniu zadanego progu.

  11. Kurde, aż strach czasami wklepywać apt-get upgrade… ot czasy nastali :D

    • ubawiles mnie do lez :P
      ot czasy nastali ze jak dawniej na windows, teraz na linux – updatujesz na wlasne ryzyko :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: