NBSO - NIC BR Security Office
CGI.br - Comitê Gestor da Internet no Brasil
Chave PGP: http://www.nbso.nic.br/pgp/nbso@nic.br.asc

Tradução dos Advisories do CERT/CC, com permissão especial do Software Engineering Institute (SEI).

CERT^® Advisory CA-2002-21 Vulnerabilidade no PHP

Data original de lançamento: 22 de julho de 2002
Última Revisão: --
Origem: CERT/CC

Um histórico completo das revisões pode ser encontrado ao final deste documento.

Sistemas Afetados

• Sistemas executando versões do PHP 4.2.0 ou 4.2.1

Resumo

Uma vulnerabilidade foi descoberta no PHP. Esta vulnerabilidade pode ser usada por um atacante remoto para executar código arbitrário ou abortar a execução do PHP e/ou do servidor Web.

I. Descrição

PHP é uma linguagem de script popular, extensivamente usada. Para mais informações sobre PHP, veja:

• http://www.php.net/manual/en/faq.general.php

A vulnerabilidade ocorre na porção do código PHP responsável por tratar os uploads de arquivos, especificamente multipart/form-data. Pelo envio, para um servidor web, de uma requisição POST especialmente construída, um atacante pode corromper as estruturas de dados internas usadas pelo PHP. Especificamente, um intruso pode causar a liberação de uma estrutura de memória incorretamente inicializada. Na maior parte dos casos, um intruso pode usar esta falha para abortar o PHP ou o servidor web. Sob algumas circunstâncias, um intruso pode ser capaz de se aproveitar dessa falha para executar código arbitrário com os privilégios do servidor web.

Você pode estar ciente que a liberação de memória em momentos inadequados, em algumas implementações das funções malloc e free, nem sempre resulta na execução de código arbitrário. Contudo, pelo fato de o PHP utilizar seu próprio sistema de gerenciamento de memória, a implementação de malloc e free é irrelevante para este problema.

Stefan Esser, da e-matters GmbH, indicou que intrusos não podem executar código em sistemas x86. Entretanto, nós encorajamos os administradores de sistemas a aplicar as correções em sistemas x86, bem como ter cautela contra ataques de negação de serviço e outras técnicas de ataque ainda não conhecidas que possam permitir a execução de código em arquiteturas x86.

Esta vulnerabilidade foi descoberta pela e-matters GmbH e é descrita em detalhes em seu advisory. O Grupo PHP também lançou um advisory. Uma lista de fornecedores contatados pelo CERT/CC, e seus status relativos a esta vulnerabilidade, está disponível em VU#929115.

Embora esta vulnerabilidade afete apenas as versões de PHP 4.2.0 e 4.2.1, a e-matters GmbH identificou anteriormente vulnerabilidades em versões antigas de PHP. Se você está usando versões antigas de PHP, nós encorajamos você a ler: http://security.e-matters.de/advisories/012002.html

II. Impacto

Um atacante remoto pode executar código arbitrário em um sistema vulnerável. Um atacante pode não ser capaz de executar código em arquiteturas x86 devido ao modo como a pilha é estruturada. Contudo, um atacante pode utilizar esta vulnerabilidade para abortar o PHP e/ou o servidor web executando em uma arquitetura x86.

III. Solução

Aplicar a correção disponibilizada pelo seu fornecedor

O Apêndice A contém informações providas pelos fornecedores para este documento. À medida que os fornecedores enviarem novas informações ao CERT/CC, esta seção será atualizada e as modificações serão registradas no histórico de revisões. Se algum fornecedor em particular não estiver listado abaixo é porque não recebemos seus comentários. Por favor, contacte seu fornecedor diretamente.

Fazer uma atualização para a última versão do PHP

Se uma correção não foi disponibilizada pelo seu fornecedor, faça uma atualização para a versão 4.2.2.

Negar requisições POST

Até que uma correção ou uma atualização possam ser feitas, você pode desejar negar as requisições de POST. A seguinte solução provisória foi retirada do Advisory de Segurança do PHP:

Se as aplicações PHP em um servidor web afetado não dependem de entradas de HTTP POST de programas de usuários, é possível negar requisições de POST no servidor web.

No servidor web Apache, por exemplo, isto é possível com a inclusão do seguinte código no arquivo de configuração principal ou em um arquivo .htaccess top-level:

<Limit POST>
   Order deny,allow
   Deny from all
</Limit>

Note que uma configuração e/ou arquivo .htaccess existentes podem ter parâmetros contraditórios ao exemplo dado acima.

Desativar serviço vulnerável

Até você poder atualizar ou aplicar as correções, você pode querer desativar o PHP. Como boa prática, o CERT/CC recomenda desativar todos os serviços que não são explicitamente requeridos. Antes de decidir pela desabilitação do PHP, considere os requerimentos do seu serviço.

Apêndice A. - Informações dos Fornecedores

Este apêndice contém informações providas pelos próprios fornecedores para inclusão neste documento. À medida que os fornecedores enviarem novas informações ao CERT/CC, este documento será atualizado e as modificações serão registradas no histórico de revisões. Se algum fornecedor em particular não estiver listado abaixo é porque não recebemos seus comentários.

Apple Computer Inc.

Os sistemas Mac OS X e Mac OS X Server são distribuídos com PHP versão 4.1.2, que não contém a vulnerabilidade descrita neste alerta.

Caldera

A Caldera OpenLinux não fornece nenhuma das versões vulneráveis do PHP (4.2.0, 4.2.1) em seus produtos. Desta forma, os produtos Caldera não estão vulneráveis a este problema.

Compaq Computer Corporation

FONTE: Compaq Computer Corporation, uma subsidiária da Hewlett-Packard Company e Hewlett-Packard Company HP Services Software Security Response Team

x-ref: SSRT2300 requisição de post php

Até a finalização deste documento, a Compaq está investigando o potencial impacto aos produtos lançados sobre a plataforma do Sistema Operacional da Compaq.

Na medida em que mais informações estiverem disponíveis a Compaq proverá notificações sobre disponibilidade de quaisquer correções necessárias, através dos anúncios do "security bulletin" e através dos canais normais de suporte do HP Services.

Cray Inc.

Cray, Inc. não fornece PHP em quaisquer de seus sistemas.

Debian

Debian GNU/Linux stable (3.0) não é vulnerável.
Debian GNU/Linux testing não é vulnerável.
Debian GNU/Linux unstable é vulnerável.

O problema afeta o PHP nas suas versões 4.2.0 e 4.2.1. A distribuição Woody possui uma versão antiga de PHP (4.1.2), que não contém a função vulnerável.

FreeBSD

O FreeBSD não inclui qualquer versão de PHP em sua distribuição e, portanto, não está vulnerável; entretanto, o sistema de Ports do FreeBSD contém o pacote PHP4. Atualizações para o pacote PHP4 estão em andamento e um pacote corrigido estará disponível num futuro próximo.

Guardian Digital

A Guardian Digital não distribuiu o PHP 4.2.X em nenhuma das versões de EnGarde, portanto, nós não acreditamos estar vulneráveis no momento.

Hewlett-Packard Company

FONTE: Hewlett-Packard Company Security Response Team

Até o momento da redação deste documento, a Hewlett Packard está investigando o impacto potencial aos produtos lançados sobre a plataforma do Sistema Operacional da HP.

Na medida em que mais informações estiverem disponíveis a HP proverá notificações sobre disponibilidade de quaisquer correções necessárias, através dos anúncios do "security bulletin" e através dos canais normais de suporte do HP Services.

IBM

IBM não é suscetível às vulnerabilidades de PHP descritas acima. Nós fornecemos os pacotes PHP para o AIX através do "AIX Toolbox for Linux Applications". Entretanto, estes pacotes estão em 4.0.6 e também incorporam a correção de segurança de 27/2/2002.

Mandrakesoft

O Mandrake Linux não é distribuído com o PHP versões 4.2.x e, deste modo, não é vulnerável. O Mandrake Linux cooker atualmente contém o PHP versão 4.2.1 e será atualizado em breve, mas o cooker não deveria ser usado em um ambiente de produção e nenhum advisory será emitido.

Microsoft Corporation

Os produtos da Microsoft não são afetados pelos problemas detalhados neste advisory.

Network Appliance

Os produtos Netapp não são vulveráveis a isto.

Red Hat Inc.

Nenhum de nossos lançamentos comerciais é distribuído com as versões vulneráveis de PHP (4.2.0 e 4.2.1).

SuSE Inc.

O SuSE Linux não é vulnerável a este problema, uma vez que nós não distribuímos PHP 4.2.x.

O CERT Coordination Center agradece à e-matters GmbH por ter descoberto e reportado esta vulnerabilidade.

Autor: Ian A. Finlay.

Informações de Contato do CERT/CC

Email: cert@cert.org

Telefone: +1 412-268-7090 (Hotline 24 horas)

Fax: +1 412-268-6989

Endereço para correspondência:

CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.

O pessoal do CERT/CC atende ao hotline no período das 8:00 às 17:00h EST(GMT-5), de segunda a sexta-feira; nos demais períodos eles atendem em esquema emergencial, incluindo finais de semana e feriados dos Estados Unidos.

Utilização de criptografia

Nós recomendamos fortemente que informações sensíveis sejam criptogradas ao serem enviadas por email. Nossa chave pública PGP está disponível em:

• http://www.cert.org/CERT_PGP.key

Se você preferir utilizar DES, por favor telefone para o hotline do CERT para obter maiores informações.

Obtendo informações sobre segurança

As publicações do CERT e outras informações sobre segurança estão disponíveis em nosso site:

• http://www.cert.org/

Para inscrever-se na lista de advisories e boletins do CERT, envie um email para majordomo@cert.org, incluindo o seguinte no corpo da sua mensagem:

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

Translations of CERT/CC Advisories, (c) 2002 by Carnegie Mellon University, with special permission from the Software Engineering Institute.

Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation.

NBSO shall ensure that all translated materials incorporate the CERT/CC logos, service marks, and/or trademarks, as well as a link to the original English version on the CERT web site (www.cert.org).

NBSO shall ensure that all translated materials are translated in their entirety and that the SEI will be notified of which CERT/CC Advisories are being translated. Notifications go to cert@cert.org.

NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU in tellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property.

Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction.

No Endorsement. The SEI and CMU do not directly or indirectly endorse NBSO work.

Translations of CMU/SEI copyrighted material are not official SEI-authorized translations. NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document.

This permission is granted on a non-exclusive basis for non-commercial purposes.

Conditions for use, disclaimers, and sponsorship information

Copyright 2002 Carnegie Mellon University.

Histórico de Revisões
22 de julho de 2002: Lançamento da versão inicial