17:36
3/2/2012

Poważna dziura w PHP 5.3.9

Pod koniec stycznia wydano PHP w wersji 5.3.9, aby poprawić ten błąd bezpieczeństwa. Jak się jednak okazuje, podczas łatania jednej dziury, wprowadzono drugą, i to o wiele gorszą. Właśnie wydano wersję PHP 5.3.10, która poprawia poprzednią poprawkę …i miejmy nadzieję, nie wprowadza kolejnych błędów.

RCE w PHP 5.3.9

Błąd z gatunku Remote Code Execution odnalazł Stefan Esser, który wziął się za analizę wprowadzonego do PHP 5.3.9 patcha na lukę opisywaną przez nas tutaj (DoS spowodowany kolizjami hashy).

yo-dawg-php

Patch na patcha!

Błąd znajdował się w kodzie związanym z nową opcją max_input_vars i można było z niego skorzystać przez 8 dni (wprowadzono go 24 stycznia, usunięto 2 lutego). Krótko mówiąć: problem z niedostępnością serwera załatano problemem z uruchomieniem dowolnego kodu po stronie serwera. Kiepski interes ;)

Zalecamy upgrade do PHP 5.3.10.

P.S. Na marginesie. Debian zdecydował nie włączać domyślnie Suhosin dla PHP.

Przeczytaj także:

22 komentarzy

Dodaj komentarz
  1. Co ja patche ;<

    • co za niedopatchenie :(

  2. Rozwaliliście mnie tym jpegiem :D

  3. Ok. Trzeba walnąć update.

    • Instalujesz najnowsze wydania? to raczej nie jest dobre wyjście, m.in. z tego powodu Debian stable jest bezpieczny, nie działa na niego ostatni local root, nie działa również atak na sudo oraz php ;).

    • Ty to nieumyślny przestępca jesteś, jak konta tibii sprzedajesz ;-)

  4. “wprowadzono go 24 stycznia” – chyba raczej 10 stycznia z wersją 5.3.9?

  5. Stare polskie powiedzenie mówi: PHP ssie. Perl nie.

    • …tyle że prędzej zrozumiesz kod w brainf*cku niż w perlu.

      PYTHON FTW!

  6. Haditha Frank Wuterich Iraq in 2005, zmasakrował 24 cywilów, kobiety dzieci i ludzi na wózku

    Dane na temat pucket farraj – prawnika ktory wybronił mordercę
    i pełno innych rzeczy fbi:

    http://thepiratebay.se/user/antisecurity

    • te komentarze podobno są moderowane – temu chyba udało się przemknąć niezauważonym

  7. od dwóch lat używam WTW i jeszcze takiego błędu nie było. polecam się przenieść i nie martwić się na zapas

    • WTW? Ale o czym ty mówisz? WTW to przecież (multi)?komunikator, a PHP to język programowania… czy coś przeoczyłem?

    • Oj, mi też się czasem mylą te wszystkie skrótowce. Nietrudno pomylić WTW z PHP czy WWW z FTP, a już w ogóle PC z GG.

    • Ale nie tylko skrótowce się mylą. Pełne nazwy też.
      Niektórzy nagminnie mylą Facebooka z Internetem.
      Zwłaszcza w godzinach pracy, gdzie można korzystać z Internetu ;)

    • też używam WTW, ale nie przyszło mi do głowy żeby PHP zastąpić komunikatorem ;s

    • Po co się jakimiś głupimi PHP zajmować, jak można logować do html przepływ rozmów przez WTW i od razu na serwer to pakować.. strona jest – cel osiągnięty! :)

  8. Serwer niedostepny-zle. Mozliwosc wykonywania kodu-zle. I jak tu takim dogodzic? :>

  9. “Krótko mówiąć: problem z niedostępnością serwera załatano problemem z uruchomieniem dowolnego kodu po stronie serwera”. Błąd rzeczowy. Problemu z uruchomieniem kodu po stronie serwera nie było ;).

  10. Przez przypadek zrobiłem własny zliczacz zmiennych, który blokuje wywołanie skryptu po przekroczeniu zadanego progu.

  11. Kurde, aż strach czasami wklepywać apt-get upgrade… ot czasy nastali :D

    • ubawiles mnie do lez :P
      ot czasy nastali ze jak dawniej na windows, teraz na linux – updatujesz na wlasne ryzyko :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: