[HVA News] – Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI


Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI khiến lộ mã nguồn website

Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42195.hva

Một chuyên gia bảo mật người Hà Lan đã tìm thấy một lỗi nghiêm trọng của PHP-CGI mà mã khai thác có thể được kẻ tấn công thực thi từ xa khiến mã nguồn của website bị lộ. 

Trong một bài viết [1] được đăng tải lên trang blog cá nhân của mình vào ngày 3/5/2012, Eindbazen nói rằng trong khi chơi giải đấu Nullcon CTF, nhóm của anh ta đã để ý thấy nếu họ nhập vào một chuỗi truy vấn là “?-s” thì kết quả là một đối số dòng lệnh (command line argument) “-s” được truyền cho PHP và dẫn đến làm lộ mã nguồn.

Sau đó họ phân tích kĩ hơn lỗi này thì thấy mã khai thác có thể được cải tiến để có thể được thực thi từ xa (remote code execution).

Đặc biệt nghiêm trọng hơn khi họ phát hiện ra rằng lỗi này có trong PHP tẩt cả các phiên bản kể từ năm 2004 tới nay, nhóm phát triển PHP rõ ràng đã bỏ quên một phần quan trọng về script command line trong tài liệu RFC của CGI.

Lỗ hổng này được khám phá vào ngày 13/1 và vài ngày sau đó nhóm PHP cũng nhận được thông báo về sự tồn tại của nó. Vào đầu tháng 2, CERT cũng được nhận được thông báo này và kể từ đó nhóm PHP đã làm việc để sớm cung cấp bản vá lỗi.

Vào ngày 2 tháng 5, CERT đã trao đổi với nhóm của Eindbazen rằng PHP cần thêm thời gian để khắc phục vấn đề và họ đã đồng ý không công bố lỗ hổng này nhưng thật không may, ai đó đã làm rỏ rỉ thông tin và chi tiết về lỗi đã được đăng tải trên mạng Reddit. Chính vì sự cố này mà Eindbazen đã quyết định công khai lỗi trên blog của mình vào ngày 3/5.

Hiện tại vẫn chưa có bản vá chính thức và hoàn chỉnh từ PHP dành cho các phiên bản gần đây nhất là 5.4.2 và 5.3.12. Trong khi chờ đợi thì nhóm của Eindbazen cũng đưa ra vài các khắc phục tạm thời. Lỗi này chỉ ảnh hưởng tới các bản cài đặt CGI cổ điển, còn các máy chủ chạy FastCGI là an toàn.

(Theo Softpedia.com) [2]

Tham khảo thêm về cách tạm vá lỗi này tại: 

[1] PHP-CGI advisory (CVE-2012-1823) 
http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/

[2] PHP-CGI Flaw from 2004 Leads to Remote Code Disclosure and Execution
http://news.softpedia.com/news/PHP-CGI-Code-Execution-Flaw-from-2004-Leads-to-Code-Disclosure-267589.shtml

One comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s