Ernstig PHP-lek per ongeluk openbaar gemaakt
Een zeer ernstig beveiligingslek in de populaire scripttaal PHP waavoor nog geen patch is, is per ongeluk door het ontwikkelteam geopenbaard, waardoor miljoenen servers risico lopen om gehackt te worden. Via de PHP-CGI query string parameter kwetsbaarheid is het mogelijk om een remote shell te krijgen en op afstand willekeurige code uit te voeren.
Wie PHP met behulp van CGI draait is kwetsbaar, ongeacht wat het PHP-script doet. Veel hostingproviders zouden deze opstelling gebruiken.
De kwetsbaarheid was bij PHP aangemeld en in de bugtracker opgenomen. Door een fout van het PHP-ontwikkelteam was de bugmelding voor iedereen zichtbaar. Inmiddels is de kwetsbaarheid weer op privé gezet, maar de informatie is nu ook online te vinden. Op dit moment is er nog geen beveiligingsupdate beschikbaar.
Update 12:12
Het lek was begin januari door de Eindbazen ontdekt, een groep Nederlandse hackers. De kwetsbaarheid werd op 17 januari aan PHP gerapporteerd, inclusief een mogelijke update. Op 1 februari had PHP nog steeds niet gereageerd. De hackers wilden daarom het proces via het Computer Emergency Response Team (CERT) van CERT.org laten lopen.
Op 23 februari werd het CERT ingelicht, waarbij er op 5 april om een statusupdate werd gevraagd. In een reactie liet het CERT weten dat PHP nog aan een update werkte. Op 20 april vroegen de hackers het CERT om het lek te openbaren, tenzij er op korte termijn een update zou verschijnen. Een week later was het CERT inderdaad met een advisory bezig.
Op 2 mei bleek dat PHP een patch aan testen was, maar de ontwikkelaars meer tijd nodig hadden. De Nederlandse hackers gingen daarmee akkoord en wilde het openbaren van het lek uitstellen, totdat iemand bij PHP vandaag per ongeluk het lek openbaarde.
Impact
"De impact is groot. Er is momenteel geen fix vanuit PHP beschikbaar en het geeft remote code execution op kwetsbare servers. Daarnaast kan eenvoudig de broncode van elk PHP-script gelezen worden", aldus een woordvoerder van de Eindbazen tegenover Security.nl. Op het blog van de groep zijn verschillende onofficiële patches verschenen.
"Deze zouden geïnstalleerd kunnen worden totdat er een update van de leverancier komt. Onze updates kunnen mogelijk bepaalde opstellingen breken. Een andere optie is om tijdelijk servers uit te zetten, totdat er een fix beschikbaar is."
Wat betreft de blunder aan de kant van PHP is de woordvoerder ontsteld. "Dit had nooit mogen gebeuren natuurlijk. De fout is snel gecorrigeerd maar toen was het kwaad al geschied. Iemand heeft vervolgens de bugmelding gekopieerd en online gezet. Een fout is natuurlijk menselijk, maar deze kan grote gevolgen hebben", aldus de woordvoerder.
Lees de blogpost even, daar staat precies in hoe en waarom het vulnerable is.
SECOND NOTE: This problem only exists on server software that implements the rfc3875 behavior described above. Apache does this, but many other HTTP servers do not.
Kan iemand misschien voorbeeld geven, doel ik dus simpele page op je eigen of gratis hosting. Ben namelijk wel eens nieuwsgierig.
Parameter ?-s geeft bij een doelsysteem de broncode inbeeld i.p.v. de pagina zelf.
http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/
http://www.kb.cert.org/vuls/id/520827
Kan iemand misschien voorbeeld geven, doel ik dus simpele page op je eigen of gratis hosting. Ben namelijk wel eens nieuwsgierig.
Is er een troll??
Voor mij nu min 2 dus( ;-))
Parameter ?-s geeft bij een doelsysteem de broncode inbeeld i.p.v. de pagina zelf.
Waar dus ook database wachtwoorden instaan en als je de Eindbazen blog leest kom je erachter dat je met deze kwetsbaarheid ook code executie krijgen. Niet echt "weinig te zien en beleven".
Kan iemand misschien voorbeeld geven, doel ik dus simpele page op je eigen of gratis hosting. Ben namelijk wel eens nieuwsgierig.
Ik vraag mij meer af hoeveel mensen Apache + PHP-CGI draaien, vooral als je voor PHP-CGI of PHP-FPM gaat dan gebruikt men vaak een alternatieve webserver zoals Nginx/Cherokee/Lighttpd.
Wat is de probability van dit ding eigenlijk?
Parameter ?-s geeft bij een doelsysteem de broncode inbeeld i.p.v. de pagina zelf.
Waar dus ook database wachtwoorden instaan en als je de Eindbazen blog leest kom je erachter dat je met deze kwetsbaarheid ook code executie krijgen. Niet echt "weinig te zien en beleven".
Sommige mensen zien gaten niet, of begrijpen niet goed hoe je zoiets zou kunnen misbruiken. Legio mogelijkheden in dit geval, dat is zeker.
Als je enkel nieuwschierig bent maar geen systeem hebt wat mogelijk kwetsbaar is.
Valt er zoals aangegeven "weinig te zien en beleven".
Kan iemand misschien voorbeeld geven, doel ik dus simpele page op je eigen of gratis hosting. Ben namelijk wel eens nieuwsgierig.
Ja klopt, ik heb even maar wat meer gezocht zodat het wat duidelijker is. Nee heb ook geen voorbeeld nodig meer, naja om excution deel te gebruiken zou ik toch eerst moeten weten hoe.
Zelf gebruik ik idd PHP als Apache Module, daarnaast dacht ik dat er FastCGI op zat. Heb eigenlijk vrij weinig gekeken naar mn nieuwste VPS die ik gebruik als hosting, zal thuis eens kijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.