ALERTE : Vulnérabilité PHP Hypertext Preprocessor (29.10.19)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité PHP Hypertext Preprocessor (29.10.19)

Messagede pierre » 01 Nov 2019, 21:47

ALERTE : Vulnérabilité PHP Hypertext Preprocessor

Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
PHP versions 7.3.x antérieures à 7.3.11
PHP versions 7.2.x antérieures à 7.2.24
PHP versions 7.1.x antérieures à 7.1.33

Résumé
Suite à l'avis CVE-2019-11043 (viewtopic.php?f=173&t=34638) qui affecte PHP et permet l'exécution de code arbitraire à distance, un code d'exploitation est maintenant disponible sur internet, facilitant l'utilisation de cette vulnérabilité.

Ce code d'exploitation nécessite une configuration communément recommandée de nginx et php-fpm utilisant fastcgi_split_path_info. Voici un exemple de configuration vulnérable:

location ~ [^/]\.php(/|$) {
...
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}

Il est possible que d'autres chemins d'exploitation non connus à ce jour permettent d'abuser de la vulnérabilité.

Il est fortement recommandé de procéder à la mise à jour de php vers une version non vulnérable, et ce dans les plus brefs délais si votre configuration nginx utilise fastcgi_split_path_info.

Les versions de PHP antérieures à 7.1 peuvent être également affectées, et ne bénéficieront pas de mise à jour. Il est primordial d'utiliser une version supportée par l'éditeur.

Contournement provisoire
Il est possible de se prémunir contre ce code d'exploitation en vérifiant l'existence du fichier PHP. Ainsi, les requêtes malformées sont filtrées au niveau de nginx, de cette manière l'attaquant n'est pas capable d'exploiter la vulnérabilité dans php-fpm.

Afin de mettre en place ce contournement provisoire, il faut insérer try_files $uri =404; avant de passer la requête à php-fpm (avant la ligne fastcgi_pass dans l'exemple plus haut).

Solution
Le CERT-FR recommande de mettre à jour PHP vers une version non vulnérable sans attendre.

Documentation
Avis du CertFR du 24 octobre 2019
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-534/

Bulletin de sécurité PHP 7.3.11 du 24 octobre 2019
https://www.php.net/ChangeLog-7.php#7.3.11

Bulletin de sécurité PHP 7.2.24 du 24 octobre 2019
https://www.php.net/ChangeLog-7.php#7.2.24

Bulletin de sécurité PHP 7.1.33 du 24 octobre 2019
https://www.php.net/ChangeLog-7.php#7.1.33

Référence CVE CVE-2019-11043
http://cve.mitre.org/cgi-bin/cvename.cg ... 2019-11043

Article de la société Tenable du 24 octobre 2019
https://www.tenable.com/blog/cve-2019-1 ... n-on-nginx


Historique des alertes et avis sur PHP (Hypertext Preprocessor)
Historique des alertes et avis sur PHP (Hypertext Preprocessor)
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27284
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité PHP Hypertext Preprocessor (29.10

Messagede pierre » 24 Jan 2020, 20:26

Clôture de l'alerte
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27284
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 24 invités