Zdalne wykonanie kodu w PHP do wersji 5.6.1, 5.5.17 i 5.4.33
Marcin Rybak dodał 24 października 2014 o 12:31 w kategorii Drobiazgi
z tagami: CVE • PHP • RCE
W ostatnim czasie deweloperzy usunęli sporo poważnych błędów w PHP. Najpoważniejszy z odkrytych przez badaczy z High-Tech Bridge błędów to CVE-2014-3669, który może prowadzić do zdalnego wykonania kodu i dotyczy systemów 32-bitowych.
Błąd dotyczy deserializacji przekazywanych danych. Przy odpowiednich wartościach w systemach 32 bitowych udaje się przepełnić integera (long ma przedział od 2147483647 do -2147483648), a co za tym idzie, wskazać na niewłaściwe adres pamięci. W połączeniu np. z błędem w gdImageCrop może umożliwić to zdalne wykonanie kodu. Więcej technicznych aspektów tego błędu znajdziecie w opisie Symeona Paraschoudis z High-Tech Bridge.
Podobne wpisy
- Zhakowali Ubera przez lukę w VPN-ie Palo Alto
- Wyjaśniamy DNS Rebinding, czyli jak można było zhakować setki milionów komputerów
- Poniedziałek z trenerem – wykonanie kodu na firewallach PaloAlto
- Zdalne wykonanie kodu w WordPressie odkryte przez Polaka (tylko do wersji 4.7)
- RCE na serwerze Facebooka za $40k z użyciem błędu sprzed 5 miesięcy
Nie jestem programistą ale przedstawiony przykład słabo mi wygląda na zdalne wykonanie .
Jeśli ktoś się na czymś nie zna to zawsze wszystko słabo wygląda :)
odpowiedź znajdziesz w dokumencie źródłowym:
To sum up this is a read access violation and probably not exploitable, but cases like CVE-2013-7226 (Integer overflow in the gdImageCrop function) can lead to a heap-based buffer overflow and probably allow potential attackers to gain remote code execution.
Nices to że masz rację nie zmienia faktu że cytat od Marcin Rybak troszkę mnie utrwala w moim podejściu. Trochę za dużo „can” „probably” i „potential”.
PS About lotto: You can be potential winner. Play, You probably win. ;-)