Többszörös sebezhetőséget fedeztek fel a PHP-ben ami önkényes kódfuttatást tesz lehetővé
Többszörös sebezhetőséget fedeztek fel a PHP-ben ami önkényes kódfuttatást tesz lehetővé


Áttekintés:


Több ponton is sebezhetőséget fedeztek fel a PHP-ben – írja a CIS (Center for Internet Security) - amelyek közül a legsúlyosabb tetszőleges kódfuttatást tehet lehetővé. A PHP platformok széles választékát támogatja, és számos webalapú szoftver alkalmazás használja. A jogosulatlan kódfuttatásokon túl az alkalmazáshoz rendelt jogosultsági szint függvényében a támadó programokat telepíthet, érzékeny adatokhoz juthat, módosíthat vagy törölhet filokat de akár teljesen új felhasználói fiókot is létrehozhat adminisztrátori joggal. A sérülékenységek sikertelen kihasználása esetén is – azaz ha a támadónak nem sikerül a külső kódfuttatás - szolgáltatásmegtagadó állapot keletkezhet. (DoS, Denial of Service)

Fenyegetés felderítés:


Jelenleg nincs beszámoló arról, hogy ezeket a sebezhetőségeket máris kihasználták volna.

Érintett verziók:


•    PHP 7.1 verziók a 7.1.32 alatt
•    PHP 7.2 verziók a 7.2.22 alatt
•    PHP 7.3 verziók a 7.3.9 alatt

Technikai összefoglaló:


Ezt itt nem írnánk le, egyszerűbb ha megnézed a cisecurity.org –on
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2019-087/

A következő lépéseket javasoljuk a megelőzésre:


•    A megfelelő tesztelés után azonnal frissítsd a PHP-t a legújabb verzióra.
•    A javítás előtt ellenőrizd, hogy nem történt-e jogosulatlan rendszermódosítás.
•    Alkalmazd a legkevesebb kiváltság elvét (Least Privilege) minden rendszerre és szolgáltatásra.

“Legkisebb jogosultság elve: azt írja elő, hogy egy számítógépes környezet adott rétegében - estünkben a szerver által futtatott PHP alapú webkiszolgálójában - minden modul (mint pl. folyamat, felhasználó vagy alkalmazás) kizárólag olyan információkhoz és erőforrásokhoz fér hozzá, amelyek szükségesek a modul legitim céljainak eléréséhez.”


•    Emlékeztesd a felhasználókat arra, hogy ne kattintsanak mindenre is rá ami szembe jön és ellenőrizzék, hogy amire kattintani szándékozik megbízható forrásból érkezett e. De mivel úgyis mindenki össze vissza kattintgat, inkább frissítsd a PHP verziót az biztosabb módszer.


 

0 hozzászólás
Összes mutatása

További olvasásra ajánljuk