domingo, 23 de enero de 2000

Fallo de seguridad en PHP

Las versiones de PHP3 inferiores a la 3.0.14 permiten la
ejecución de comandos arbitrarios con los privilegios del
servidor web que ejecute el script, aún cuando se haya
configurado con "safe-mode".
Aunque en "safe-mode" PHP3 sólo permite ejecutar los comandos
nativos que se encuentren en un directorio determinado, un
defecto de implementación en la función "popen()" permite
insertar comandos adicionales no sujetos a esa restricción.

Para ello basta con que los comandos adicionales estén
separados del primero por un ";" (punto y coma). Por ejemplo,
si el comando "ls" está en el directorio de comandos nativos
permitidos, una invocación PHP3 como
"popen(ls; /bin/comando", "r");" ejecutaría el comando
"/bin/comando" sin restricciones.

Apenas una semana después de hacerse pública la vulnerabilidad,
los autores del PHP3 han publicado una nueva versión del
lenguaje, la 3.0.14, que corrige éste y otros problemas. La
actualización debería ser urgente.

Aquellos administradores que no puedan actualizar su sistema
de forma inmediata, y gracias a que PHP3 es un proyecto Open
Source, pueden aplicar el siguiente parche como solución
temporal:



--- /tmp/php-3.0.13/functions/file.c Sat Jan 1 05:31:15 2000
+++ functions/file.c Tue Jan 4 23:35:16 2000
@@ -51,6 +51,7 @@
#include "safe_mode.h"
#include "php3_list.h"
#include "php3_string.h"
+#include "exec.h"
#include "file.h"
#if HAVE_PWD_H
#if MSVC5
@@ -575,7 +576,7 @@
pval *arg1, *arg2;
FILE *fp;
int id;
- char *p;
+ char *p, *tmp=NULL;
char *b, buf[1024];
TLS_VARS;


@@ -601,6 +602,11 @@


snprintf(buf,sizeof(buf),"%s/%s",php3_ini.safe_mode_exec_dir,arg1->value.str.val);
}
- fp = popen(buf,p);
+

+ tmp = _php3_escapeshellcmd(buf);
+ fp = popen(tmp,p);
+ efree(tmp); /* temporary copy, no longer necessary */
+

if (!fp) {
php3_error(E_WARNING,"popen(\"%s\",\"%s\") -
%s",buf,p,strerror(errno));
RETURN_FALSE;




PHP3 es un lenguaje de "script" con una sintaxis híbrida entre
el C y el Perl, utilizado para la generación dinámica de páginas
web, fundamentalmente. Su funcionalidad es comparable al ASP
(aunque el ASP está basado en el lenguaje BASIC), pero su gran
ventaja es que no está vinculado a ningún sistema operativo ni
a ningún servidor web concreto. Aunque fue diseñado para
funcionar bajo Unix y bajo el servidor Apache, también funciona
en Windows y bajo Internet Information Server, Netscape Server,
etc. Y, lo mejor de todo, es que se trata de un proyecto Open
Source.

Más información:
PHP
Web Programming - Introduction to PHP
PHPBuilder.com - The Resource for PHP Developers
PHP/MySQL Tutorial



Jesús Cea Avión
jcea@hispasec.com