New bug in PHP-CGI

Pues parece que hoy es el día de enunciar vulnerabilidades. Si a primera hora era la de samba, ahora toca una nueva de php, que afecta  a php-cgi. Dicha vulnerabilidad está identificada con el código CVE-2012-1823 y está calificada como crítica ya que a través de inyección de parámetros se puede mostrar el contenido del php ejecutado (contraseñas incluidas) o ejecutar código remoto. Este fallo se viene arrastrando desde 2004, por lo que son muchos los sistemas afectados de inyección de parámetros.
Para explotar dicha vulnerabilidad, simplemente hay que pasarle los parámetros -s, '?-s', o -r, '?-s', como opciones a la página llamada. Por ejemplo, la opción -s lo que hace es directamente mostrar el contenido del php ejecutado, lo que implica una falta de seguridad muy grave.
Los encargados del proyecto ya han desarrollado un parche que se espera en breve llegue a todas las distribuciones empaquetado, pero ya está disponible en código fuente.
Si la actualización es complicada, se aconseja cuando menos añadir al sistema el módulo mod_rewrite de apache, para intentar bloquear las peticiones maliciosas. Las reglas a añadir serían,
RewriteEngine on
RewriteCond% {QUERY_STRING} ^ [^ =] * $
RewriteCond% {QUERY_STRING}% 2d | \ - [NC]
RewriteRule.? - [F, L]
O también el uso de la directiva FilesMatch, que evita que se muestre el contenido de ficheros php importantes.
...
  <filesmatch ^config.php$="">
    Deny from all
  </filesmatch>
...
Nota: FastCGI no es vulnerable!
Nota: Ya hay disponible un módulo para metasploit que aprovecha dicho fallo de seguridad, para hacer PoC.

Para más información: eindbazen.net.


1 comentario :

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios