Se ha anunciado una vulnerabilidad en el módulo mod_php de Apache, por
la cual un atacante podrá robar sesiones del servicio https en los
sistemas afectados.
Mod_php es un módulo Apache que permite el uso de scripts y conexiones
a bases de datos a través de páginas php. La vulnerabilidad anunciada
afecta a los sistemas que hagan uso de mod_php en las versiones 4.2.x
y 4.3.x con Apache 2.0.x.
El problema reside en un fallo en el tratamiento de descriptores de
archivo de forma que un usuario local podrá tomar el control del
servicio Apache https.
mod_php filtra algunos descriptores de archivos al proceso PHP. Si un
script efectúa una llamada a una aplicación externa a través de las
funciones passthru(), exec(), o system(), se filtrarán los
descriptores al programa que realiza la llamada. El descriptor de
fichero del puerto https abierto se encuentra entre los afectados, de
forma que cualquier usuario local, o un usurio remoto con permiso para
subir ejecutables podrá robar las sesiones https.
Hasta el momento no hay ningún parche o actualización que evite este
problema, por lo que como contramedida se recomienda realizar la
llamada con el parámetro CLOEXEC, que evita pasar descriptores de
archivo privilegiados.
antonior@hispasec.com
Más información:
Apache mod_php Module File Descriptor Leakage Vulnerability
http://www.securityfocus.com/bid/9302
Hijacking Apache https by mod_php
http://www.securityfocus.com/archive/1/348368
