PHPfrance

la communauté d'entraide francophone dédiée au PHP

Vulnérabilité de PHP en CGI

9 messages   •   Page 1 sur 1
   Outils de sujet
ViPHP
Ripat
ViPHP | 1380 Messages

08 mai 2012, 08:10

Pour ceux qui ne l'auraient pas vu passer:
https://bugs.php.net/bug.php?id=61910
http://eindbazen.net/2012/05/php-cgi-ad ... 2012-1823/

Cette faille permet, entre autre, à l'attaquant de forcer l'affichage du code! :shock:

Commentaire de PHP:
SOLUTION
We are currently unaware of a practical solution to this problem.
A vos patch!
ripat
ViPHP
ViPHP | 1380 Messages

08 mai 2012, 08:40

Patch rapide: mod_rewrite

Code : Tout sélectionner

RewriteEngine on RewriteCond %{QUERY_STRING} ^[^=]*$ RewriteCond %{QUERY_STRING} %2d|\- [NC] RewriteRule .? - [F,L]
Ou mieux: mod_security

Code : Tout sélectionner

SecRule QUERY_STRING "^-[sdcr]" "phase:1,t:none,t:urlDecodeUni,t:removeWhitespace,block,log,msg:'Potential PHP-CGI Exploit Attempt'"
http://blog.spiderlabs.com/2012/05/hone ... -vuln.html
ripat
Avatar du membre
Administrateur PHPfrance
Administrateur PHPfrance | 9782 Messages

08 mai 2012, 09:41

Korben décrit la faille ici :
http://korben.info/php-cgi-une-faille-d ... s-php.html


Des nouvelles versions de PHP 5.3.12 et PHP 5.4.2 ont été releasées pour corriger le bug :
http://www.php.net/archive/2012.php#id2012-05-03-1

Pour ceux qui sont sur PHP 5.2.x, vu que cette version n'est plus maintenue et que la faille est aussi présente dans cette version,
Celeonet met à disposition un patch si vous ne pouvez pas passer en 5.3 ou 5.4 : http://www.blog-celeo.com/2012/05/04/ph ... -securite/
Quand tout le reste a échoué, lisez le mode d'emploi...
Avatar du membre
Administrateur PHPfrance
Administrateur PHPfrance | 9782 Messages

08 mai 2012, 09:43

Et pour ceux qui veulent hacker Facebook :
https://www.facebook.com/?-s
;-)
Quand tout le reste a échoué, lisez le mode d'emploi...
ViPHP
ViPHP | 1380 Messages

08 mai 2012, 10:04

Et pour ceux qui veulent hacker Facebook :
https://www.facebook.com/?-s
;-)
C'est un pot de miel pour recruter un WH hacker. Si on suit lien, bien sûr...

Pas de panique tout de même. Qui tourne en CGI ici?
ripat
ViPHP
xTG
ViPHP | 7331 Messages

08 mai 2012, 10:57

Je suis pas expert là dedans. Donc j'ai tenté sur mon hébergement.
Aucun problème, donc soit CGI pas activé, soit la réécriture d'url actuelle masque la vulnérabilité. :)
ViPHP
ViPHP | 5462 Messages

08 mai 2012, 16:49

Et même si on est en CGI faut une conf particulière qui personne n'utilise
Eléphant du PHP | 343 Messages

08 mai 2012, 17:53

Pareil, j'ai tenté sur 2 de mes hébergements, RAS.
D'un autre coté pas sur d'avoir tout compris :D

Sinon sympa l’idée de FB.
Modifié en dernier par sam12 le 08 mai 2012, 18:00, modifié 1 fois.
Développeur web
ViPHP
ViPHP | 5462 Messages

08 mai 2012, 17:59

Enfaite c'est le cas tu configures ton CGI pour passer les variables d'URL en argument au CGI, donc forcement si tu fais /index.php?-s, le cgi fera php index.php -s, donc une conf assez particulière
   Répondre
9 messages   •   Page 1 sur 1
   Outils de sujet