24.10.2014 | 12:31

Marcin Rybak

Zdalne wykonanie kodu w PHP do wersji 5.6.1, 5.5.17 i 5.4.33

W ostatnim czasie deweloperzy usunęli sporo poważnych błędów w PHP. Najpoważniejszy z odkrytych przez badaczy z High-Tech Bridge błędów to CVE-2014-3669, który może prowadzić do zdalnego wykonania kodu i dotyczy systemów 32-bitowych.

Błąd dotyczy deserializacji przekazywanych danych. Przy odpowiednich wartościach w systemach 32 bitowych udaje się przepełnić integera (long ma przedział od 2147483647 do -2147483648), a co za tym idzie, wskazać na niewłaściwe adres pamięci. W połączeniu np. z błędem w gdImageCrop może umożliwić to zdalne wykonanie kodu. Więcej technicznych aspektów tego błędu znajdziecie w opisie Symeona Paraschoudis z High-Tech Bridge.

Powrót

Komentarze

  • 2014.10.26 10:37 sandalarz

    Nie jestem programistą ale przedstawiony przykład słabo mi wygląda na zdalne wykonanie .

    Odpowiedz
    • 2014.10.26 21:37 Nices

      Jeśli ktoś się na czymś nie zna to zawsze wszystko słabo wygląda :)

      Odpowiedz
    • 2014.10.26 21:40 Marcin Rybak

      odpowiedź znajdziesz w dokumencie źródłowym:

      To sum up this is a read access violation and probably not exploitable, but cases like CVE-2013-7226 (Integer overflow in the gdImageCrop function) can lead to a heap-based buffer overflow and probably allow potential attackers to gain remote code execution.

      Odpowiedz
      • 2014.11.07 20:21 sandalarz

        Nices to że masz rację nie zmienia faktu że cytat od Marcin Rybak troszkę mnie utrwala w moim podejściu. Trochę za dużo „can” „probably” i „potential”.
        PS About lotto: You can be potential winner. Play, You probably win. ;-)

        Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Zdalne wykonanie kodu w PHP do wersji 5.6.1, 5.5.17 i 5.4.33

Komentarze