Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 21.12.2004

PHP-ohjelmointikielessä useita haavoittuvuuksia

Webpalvelujen suosituimmaksi ohjelmointialustaksi nousseesta PHP-ohjelmointikielestä on löytynyt useita vakavia haavoittuvuuksia. CERT-FI:n mukaan haavoittuvuudet sijaitsevat useissa PHP-ohjelmointikielen funktioissa ja ne liittyvät esimerkiksi safe_mode -funktion ohittamiseen ja eri funktioille lähetettyjen parametrien puutteelliseen tarkistukseen.

Tutkimusyhtiö NetCraft varoittaa, että internetissä on jo julkaistu haavoittuvuuksien hyväksikäyttömenetelmä, jolla hyökkääjä voi varastaa käyttäjä- ja salasanatietokannan suositusta phpBB-keskustelusovelluksesta. Hyväksikäyttömenetelmä julkaisiin vain kaksi päivää sen jälkeen, kun löytyneet haavoittuvuudet oli julkistettu.

Haavoittuvuuksilta voi välttyä päivittämällä PHP 4.x-versiosarjan uusimpaan PHP 4.3.10 -versioon. Myös uudemmalle 5.x-versiosarjalle on julkaistu korjauspäivitys, jonka versionumero on 5.0.3.

Lue juttu oma, 21.12.2004 09:32. Lähde: CERT-FI, Netcraft, php.net

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 31 uutta / 31 )
pistettä.
Näytä vain kommentit joilla on vähintään
pehu Exploitit toimivat vaan windowssissa?
pehu, 21.12.2004 10:55:45		 Pisteet: 0
http://www.securityfocus.com/bid/11981/discussion/

Tuon mukaan exploitit toimivat vain windowssissa.
bungle Re: Exploitit toimivat vaan windowssissa?
bungle, 21.12.2004 11:33:17		 Pisteet: 0
http://www.securityfocus.com/bid/11981/discussion/ Tuon mukaan exploitit toimivat vain windowssissa.
Täysin väärää tietoa. Toimivat kaikkialla.

Yhdestä serveristä korvautuivat kaikki .php, .html sekä .html tiedostot madon toimesta. Lisäksi palvelimessa pyöri perl-skripti 100 CPU kuormalla (tarkemmin ottaen /tmp/d0s1.txt). Kyseisessä palvelimessa oli Gentoo GNU/Linux ja Apache 2.0.52-r1 sekä mod_php 4.3.9.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
bungle Re: Exploitit toimivat vaan windowssissa?
bungle, 21.12.2004 16:59:52		 Pisteet: 0
Yhdestä serveristä korvautuivat kaikki .php, .html sekä .html tiedostot madon toimesta. Lisäksi palvelimessa pyöri perl-skripti 100 CPU kuormalla (tarkemmin ottaen /tmp/d0s1.txt). Kyseisessä palvelimessa oli Gentoo GNU/Linux ja Apache 2.0.52-r1 sekä mod_php 4.3.9.
Lisäksi vielä r0nin niminen ddos ohjelma ajoutui.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
kenu Re: Exploitit toimivat vaan windowssissa?
kenu, 22.12.2004 20:02:28		 Pisteet: 0
http://www.securityfocus.com/bid/11981/discussion/ Tuon mukaan exploitit toimivat vain windowssissa.
Täysin väärää tietoa. Toimivat kaikkialla.
Välttämättä ei väärää. Yhtiöllä 3 päivän viive julkistuksessa, kirjoitushetken (Published Dec 16, 2004) tietoa heiltä, joka julkista 19. päivä. Mutta toimivat exploitit siis muuallakin kuin windowsissa.
Re: Exploitit toimivat vaan windowssissa?
mla, 22.12.2004 13:33:08		 Pisteet: 0
Yhdestä serveristä korvautuivat kaikki .php, .html sekä .html tiedostot madon toimesta. Lisäksi palvelimessa pyöri perl-skripti 100 CPU kuormalla (tarkemmin ottaen /tmp/d0s1.txt). Kyseisessä palvelimessa oli Gentoo GNU/Linux ja Apache 2.0.52-r1 sekä mod_php 4.3.9.
Yhdellä palvelimella on jälkiä näistä jo marraskuulla. Silloin alkoivat mystiset ongelmat perlin kanssa, joista kukaan ei tuntunut tietävän mitään.

Nyt kun kävin läpi ko palvelimen lokeja on sinne koitettu päästä sisään vastaavilla scripteillä kuin Santy - kuitenkin 'tuho' näyttäisi rajoittuneen 100% CPU käyttöön perlillä. Tuo aiheutti myös sen, ettei Apache voinut restartata ilman boottia, tai jos scripti sai yhteyden ulkomaailmaan niin ko palvelinta suojaava palomuuri tukehtui tuhansiin ja tuhansiin yhteydenottoihin.
Pineapple Defaceja
Pineapple, 22.12.2004 03:00:08		 Pisteet: 0
Löysin muutamankin defacetetun siten jotka käyttävät Coppermine-nimistä kuvagalleria-systeemiä. Ilmeisesti defacetus on tapahtunut jonkinlaisen madon toimesta koska sivulla lukee ainoastaan "this site is defaced !!! NeverEverNoSanity WebWorm generation x." jossa X on vaihtuva numero.
Pineapple
Re: Defaceja
Asimov, 22.12.2004 10:28:52		 Pisteet: 0
Löysin muutamankin defacetetun siten jotka käyttävät Coppermine-nimistä kuvagalleria-systeemiä. Ilmeisesti defacetus on tapahtunut jonkinlaisen madon toimesta koska sivulla lukee ainoastaan "this site is defaced !!! NeverEverNoSanity WebWorm generation x." jossa X on vaihtuva numero.
Minun saittini on yksi näiden joukossa, http://tuottavamaa.org/
Kiva. Muista on backupit mutta keskusteluista ei.
jst Re: Defaceja
jst, 22.12.2004 15:12:15		 Pisteet: 0
Kiva. Muista on backupit mutta keskusteluista ei.
Heti kun eilen tämän luin, menin (web)hotellini phpmyadminiin ja kannoista exportit. No, eipä möröt iskeneet, toistaiseksi.
THE GOAT CAN BE CANCELLED
feenix Re: Defaceja
feenix, 22.12.2004 19:17:59		 Pisteet: 0
Heti kun eilen tämän luin, menin (web)hotellini phpmyadminiin ja kannoista exportit. No, eipä möröt iskeneet, toistaiseksi.
Mietityttää miksei ne menneet jo vakiona minnekään varmistukseen? Eikö nyt vähintään palveluntarjoajan varmistuksiin, puhumattakaan siitä että itsekin ottaa varmistukset vähän väliä? Vai luottavatko ihmiset oikeasti siihen että dynaaminen tieto säilyy? (Retorinen kysymys, olen huomannut että luottavat)
jst Re: Defaceja
jst, 23.12.2004 09:35:12		 Pisteet: 0
Heti kun eilen tämän luin, menin (web)hotellini phpmyadminiin ja kannoista exportit. No, eipä möröt iskeneet, toistaiseksi.
Mietityttää miksei ne menneet jo vakiona minnekään varmistukseen? Eikö nyt vähintään palveluntarjoajan varmistuksiin, puhumattakaan siitä että itsekin ottaa varmistukset vähän väliä? Vai luottavatko ihmiset oikeasti siihen että dynaaminen tieto säilyy? (Retorinen kysymys, olen huomannut että luottavat)
No meneehän ne silloin tällöin, omiin varmistuksiin. Palveluntarjoajalta en ole kysynyt, ihmettelen jos ei mene.

Itse en luota, vaan vähän laiska olen backuppaamaan. Tuosta sai hyvän triggerin.
THE GOAT CAN BE CANCELLED
asiaan liittyen
mxmattil, 21.12.2004 20:56:27		 Pisteet: 0
Alaparkkiin murtauduttiin

"Tänään kaikki palvelun julkiset tiedostot public_html -kansiosta olivat yliajettu uusilla "This site is defaced" -ilmoituksilla. Alaparkki kertoo tapahtuneesta oma-aloitteisesti."

http://www.digitoday.fi/showPage.php?page_id=14&am...
http://www.dvd.to - DVD hakukone
kenu Re: asiaan liittyen
kenu, 22.12.2004 20:10:14		 Pisteet: 0
Alaparkkiin murtauduttiin "Tänään kaikki palvelun julkiset tiedostot public_html -kansiosta olivat yliajettu uusilla "This site is defaced" -ilmoituksilla. Alaparkki kertoo tapahtuneesta oma-aloitteisesti."
Myös Metsästäjäin Keskusjärjestön www.riista.fi:ssä käytiin.

Kuukkelin cache paljastaa asian:
http://64.233.183.104/search?q=cache:SmfQzPE804AJ:...
kenu Re: asiaan liittyen
kenu, 22.12.2004 20:24:08		 Pisteet: 0
This site is defaced!!! -tekstit näkyvät vielä http://www.ford-club.org.ua/muzzlezz/index.php
ukrainalaisella Ford-sivulla.
kenu Re: asiaan liittyen
kenu, 22.12.2004 20:28:33		 Pisteet: 0
Eivätkä rauhassa saaneet olla puolalaiset Nissan-harrastajatkaan
http://64.233.183.104/search?q=cache:stl3FWTlRHQJ:...

eli http://www.nissanklub.pl/
(toimii nyt ke-iltana).
Paljon päivitettävää
Daedalon, 21.12.2004 09:56:21		 Pisteet: +1
Tuon haavoittuvuuden hyväksikäyttö on levinnyt sellaista vauhtia, että palvelinten ylläpitäjien kannattaa päivittää saman tien PHP:nsa tai sulkea httpd. Ja työmäärä ei rajoitu PHP:n päivittämiseen, saman tien pitää varmistaa että jokainen samalla palvelimella toimiva phpBB on päivitetty ( http://www.phpbb.com/phpBB/viewtopic.php?f=14&... ) samoin kuin sen johdannaiset ( http://phpbbfm.net/phpBBFM/viewtopic.php?t=4786 ) ja joka ikinen merkittävämpi modi ( http://www.opentools.de/board/viewtopic.php?t=3590 ). Mikäli jonkun tuollaisen ylläpitäjää ei saada kiinni niin kannattaa esim. lisätä .htaccess-tiedosto sivuston DocumentRootiin joka estää sivuston käytön netistä toistaiseksi.

Eli jos palvelimissa tuntuu jumitusta lähipäivinä tai -kuukausina, yksi mahdollinen syy on se että on päästy ajamaan www-tunnuksilla shellikomentoja ja kone on valjastettu DoS-verkon osaksi. Ehkä tässä selitys siihen, miksi Pelit.Surffi.Netin pelipalvelimet olivat eilen pahasti lagisia?
kudzu Re: Paljon päivitettävää
kudzu, 21.12.2004 12:44:42		 Pisteet: 0
Ei nuo haavoittuvuudet koske kuin just jotain phpbb:tä yms bloattisoftia. Etenkin phpbb:ssä on ollut reikää reiän perään tässä vuosien varrella, joten enpä ole yllättynyt. (un)Serialize ja (un)pack lienee harvemmalla käytössä ainakin siten, että käyttäjä pääsee dataan vaikuttamaan ja kunnon koodissa tarkastetaan polut ja tyypit ennen ajoa, jolloin realpath() trunkkaus (joka oli rikki vain *bsd:ssä) ei haittaa.
+++ATH0';%%&
Re: Paljon päivitettävää
eXeonical, 22.12.2004 01:22:01		 Pisteet: 0
(un)Serialize ja (un)pack lienee harvemmalla käytössä ainakin siten, että käyttäjä pääsee dataan vaikuttamaan ja ...
No enpä nyt sanoisi, serialize() funktion suurin hyötyhän on siinä että sillä saadaan suoraan muutettua mikä tahansa muuttuja stringiksi ja unserialize() funktiolla takaisin. Esim laiskan koodarin on helppo tuolla ajaa käyttäjän syötteet serialize() funktion läpi ja pistää filuun. Tarpeen vaatiessa sitten datan saa parsimatta takaisin kunhan vain lukee filun ja pistää unserializen läpi.

Tietysti hyvä ohjelmoija on käyttänyt aikaa syötteiden ja polkujen tarkistamiseen, mutta kaikki eivät ole hyviä ohjelmoijia.
kudzu Re: Paljon päivitettävää
kudzu, 22.12.2004 13:20:11		 Pisteet: 0
Tietysti hyvä ohjelmoija on käyttänyt aikaa syötteiden ja polkujen tarkistamiseen, mutta kaikki eivät ole hyviä ohjelmoijia.
Niin, no, hyvä ohjelmointi kieli sallii sooderin aina puukottavan itseään jalkaan :) Tietty, jos käyttäjän luottamaa dataa ei filtteröidä ja siihen luotetaan sokeasti, niin hirveitä tapahtuu. Oli sitten reikiä tahi ei.
+++ATH0';%%&
PhpBB:n versionumeron piilottaminen
Daedalon, 23.12.2004 12:27:28		 Pisteet: 0
Slashdot: Net Worm Uses Google to Spread - http://it.slashdot.org/article.pl?sid=04/12/21/213... Eli äsken julkaistuja haavoittuvuuksia hyväksikäyttävä mato etsii Googlella phpBB-foorumeita, joiden ilmoittama versionumero on altis haavoittuvuudelle. Yleisaskel kaikkien tulevien vastaavanlaisten hyökkäysten estämiseen on versionumeron piilottaminen. Se tapahtuu seuraavasti:

Ota kaikkien foorumeilla käytettyjen tyylimäärittelyiden (templates) tiedostot overall_footer.tpl auki ja vaihda sieltä kohdan "{PHPBB_VERSION}" tilalle "2.0.x" tai poista kohta kokonaan.

Tämän jälkeen täytyy kuitenkin itse muistaa, mitä versiota ajaa, eli ei voikaan enää sivuille menemällä katsoa että jaha, uudempi versio onkin jo ilmestynyt. Tämä ei myöskään poista mahdollisia aukkoja, estää vaan tuon versionumerotulostuksen perusteella tehdyt automatisoidut hyökkäykset.
ff Fedora Core 1
ff, 21.12.2004 12:09:33		 Pisteet: 0
Tuleekohan tuolle ikinä päivitys-rpm:ää... :(
anger Re: Fedora Core 1
anger, 21.12.2004 13:53:17		 Pisteet: 0
Tuleekohan tuolle ikinä päivitys-rpm:ää... :(
Varmasti tulee: http://fedoralegacy.org

Eri asia vaan onkin että milloin se tulee. Ainakaan minulla ei ole juurikaan tietoa kuinka nopeaan tahtiin tuonne ilmestyy päivityksiä.
Datamike Re: Fedora Core 1
Datamike, 21.12.2004 12:28:04		 Pisteet: 0
Tuleekohan tuolle ikinä päivitys-rpm:ää... :(
Haavoittuvuuden vakavuuden vuoksi suosittelisin PHP:n kääntämistä lähdekoodista.
"Given enough eyeballs, all bugs are shallow."
Re: Fedora Core 1
mla, 22.12.2004 13:06:20		 Pisteet: 0
Tuleekohan tuolle ikinä päivitys-rpm:ää... :(
Ei ollut suuri työ kääntää sorsasta tuota 4.3.10:aa FC1:n.

1. Lataa koodi ja pura se.
2. Tee PHPInfo() sivu, josta näet vanhan Configuren parametrit
3. Lataa iso kasa -devel paketteja ja asenna ne tarvittaessa, muut ovat selviä configuren virheilmoista, mutta pspell on aspell paketti ja elfutils-devel oli joku mitä scripti ei suoraan sano puuttuvaksi vaan antaa jokun oudon virheen.
4. Make, pysäytä HTTPD ja Make Install -> HTTPD uudelleen käynnistys ja mahdollisten .conffien korjaus, jos Make Install sotki niitä.

Tuolta http://www.modem-help.co.uk/help/diary20040402.htm... itse löysin apua eilen kun virittelin tuon toimimaan omille FC1 koneille.
ff Re: Fedora Core 1
ff, 23.12.2004 10:20:15		 Pisteet: 0
Ei ollut suuri työ kääntää sorsasta tuota 4.3.10:aa FC1:n.
Mulla kosahtaa configure virheilmoitukseen, että Perliä ei ole asennettu, vaikka koneella on uusin versio. En päässyt ilmoituksesta ohi enkä ympäri lainkaan.
Re: Fedora Core 1
mla, 23.12.2004 22:18:46		 Pisteet: 0
Ei ollut suuri työ kääntää sorsasta tuota 4.3.10:aa FC1:n.
Mulla kosahtaa configure virheilmoitukseen, että Perliä ei ole asennettu, vaikka koneella on uusin versio. En päässyt ilmoituksesta ohi enkä ympäri lainkaan.
Katso mikä parametreistä on perlin määrittelevä ja poista se, jollet saa selville mikä -devel paketti koneelta puuttuu. Käsittääkseni kaikki tuon vaatimat paketit ovat ns. devel paketteja.
Re: Fedora Core 1
mla, 23.12.2004 22:36:26		 Pisteet: 0
Ilmeisesti puuttuva paketti on PCRE, joka on joku perlin kaltaisten operattorien mahdollistava paketti. --with-pcre-regex on se parametri joka tuon käskee ottaa käyttöön ja paketti minkä tuo vaatii on ilmeisesti pcre-devel-4.4-1.rpm - pcre-4.4-1.rpm sinulla varmaan on jo asennettuna.
Pisterajan alittavia kommentteja piilossa.
Saltsa Re: joo o
Saltsa, 23.12.2004 18:58:09		 Pisteet: 0
Sivuni ollaan pistetty matalaksi jo 2 kertaa vuorokauden aikana. Toisen kerran jälkeen sain lokitiedostoista hiukan irti. 66.249.66.40 - 69.17.98.99 - 62.216.176.70 IP:t ovat karaneetissa tästä päivästä lähtien . Tälläkin hetkellä jos päästän jokin heistä läpi alkaa tapahtumaan ihmeitä -> 62.216.176.70 - - [22/Dec/2004:09:31:34 +0200] "GET /aiheet/forum/viewtopic.php?p=38..... HTTP/1.0" 200 13998 http://www.pantti.net/aiheet/forum/viewtopic.php.....
Vielä ku osais noista sanoa jotain :(
Tälläisille kommenteille voisi antaa ainakin -2 pistettä, kun rikkovat TODELLA pahasti tän sivuston layoutin ainakin Firefoxissa ja operassa. Paras olisi poistaa kokonaan ja virittää kommentointijärjestelmä splittailemaan ylipitkiä sanoja.
Bob Toivottavasti tästä on monelle hyötyä
Bob, 22.12.2004 23:41:42		 Pisteet: 0

http://isc.sans.org/diary.php?date=2004-12-20

* UPDATE: phpBB Worm. Holiday Security Guide, Predictions for 2005, Sign that you take security too serious.

Open viewtopic.php in any text editor. Find the following section of code:
Code:
-------------------------------------------------------------------------------------------------
//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

for($i = 0; $i < sizeof($words); $i++)
{

and replace with:
Code:

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

for($i = 0; $i < sizeof($words); $i++)
{

Please inform as many people as possible about this issue. If you're a hosting provider please inform your customers if possible. Else we advise you implement some level of additional security if you run ensim or have PHP running cgi under suexec, etc.
____________
kenu Re: Toivottavasti tästä on monelle hyötyä
kenu, 23.12.2004 10:08:47		 Pisteet: 0
http://isc.sans.org/diary.php?date=2004-12-20 * UPDATE: phpBB Worm.
Siellä on myös kysely siitä kuinka php-mato osui omalle kohdalle,
5 % vastanneista tälllä hetkellä paikkaamaton versio, mutta hyökkäys ei osunut kohdalle.
Linkki http://isc.sans.org/index.php vie aina uusimpaan 'Diaryyn', kysely ainakin toistaiseksi sivun oikeassa laidassa.
Re: Toivottavasti tästä on monelle hyötyä
mla, 23.12.2004 22:23:52		 Pisteet: 0
http://isc.sans.org/diary.php?date=2004-12-20 * UPDATE: phpBB Worm.
Siellä on myös kysely siitä kuinka php-mato osui omalle kohdalle,
5 % vastanneista tälllä hetkellä paikkaamaton versio, mutta hyökkäys ei osunut kohdalle.
Linkki http://isc.sans.org/index.php vie aina uusimpaan 'Diaryyn', kysely ainakin toistaiseksi sivun oikeassa laidassa.
Jos käyttäjätilillä jonka oikeuksilla WWW palvelin prosessi ajetaan ei ole kirjoitusoikeuksia sivuston koodikansioon ei mato saa ylikirjoitettua sivustoa ( ja näinhän kaikki ovat tehneet - eikö ;) ) - mutta voi aiheuttaa perlin 100% CPU kulutuksen, joka saattaa kaataa palvelimen tai ainakin hidastaa sen toimintaa melkoisesti. Näin on käynyt muutamalla asiakkaalla ja yhdellä omalla palvelimella.