Commentaires sur : Faille dans PHP < 5.3.1 – Comment patcher

Par : Lecture de la semaine #10 | DevZone - Zone de développement web

Lecture de la semaine #10 | DevZone - Zone de développement web — Fri, 27 Nov 2009 16:00:28 +0000

[...] Sécurité PHP : Korben qui via John nous révele une faille dans PHP < 5.3.1. Bien heureusement, il nous indique comment la corriger Faille dans PHP < 5.3.1 – Comment patcher [...]

Par : Nico

Nico — Thu, 26 Nov 2009 23:56:20 +0000

Si quelqu’un veut tester contre http://tl.byme.at/p.php
LB haproxy qui sort sur du lighttpd

Par : Avish

Avish — Wed, 25 Nov 2009 16:03:20 +0000

@John:

Mon serveur est sous lighttpd, mais pas trop envie de balancer l’adresse ici… pas envie de me faire flooder

Dommage qu’on ne puisse pas envoyer un message privé à un utilisateur.

Par : Christian Nganzi

Christian Nganzi — Wed, 25 Nov 2009 15:07:38 +0000

Mercie korben

Par : phiphi

phiphi — Wed, 25 Nov 2009 10:24:53 +0000

@John: ok, malheureusement j'ai seulement des servers de dev en local avec apache

Par : John

John — Wed, 25 Nov 2009 10:13:36 +0000

@Avish & @phiphi: je préfère pour le moment tester sur des hosts genre lighttpd voir si c’est OK. Si vous avez un serveur de dev qui peut (hypothétiquement), se faire remplir le /tmp, je suis interessé.

Par : Avish

Avish — Wed, 25 Nov 2009 08:52:23 +0000

@John:
Je testerai bien ton script John.

Tu le rends disponible ?

@Korben:
merci mais c’est pas le but d’avoir raison. Pis je dirais Lighttpd 1 – Apache 0

C’est surtout pour faire de la pub à lighttpd ^^ je trouve qu’il marche vraiment bien, que se sois à la configuration, la vitesse, etc.

Par : phiphi

phiphi — Wed, 25 Nov 2009 08:51:35 +0000

@John: Salut John, c'est possible d'avoir ton script PHP ?

Par : John

John — Tue, 24 Nov 2009 21:21:14 +0000

@TomA & les autres: Suhosin Patch != Suhosin extension.

@avish: Perso le script en python fonctionnait pas terrible chez moi. Je me suis codé mon propre exploit en PHP, il fait du 100% de réussite pour le moment (sauf si extension). Si je peux tester sur un lighttpd je suis preneur.
@cloud: le script que j’ai fait semble fonctionner même si php sort du contenu statique.

Par : Faille détectée dans PHP < 5.3.1 « Blog Web-Petit

Faille détectée dans PHP < 5.3.1 « Blog Web-Petit — Tue, 24 Nov 2009 20:26:30 +0000

[...] : Korben.info et John-Jean.com (très détaillé). Partagez-le sur del.icio.usPubliez-le sur MySpacePartagez-le [...]

Par : TomA

TomA — Tue, 24 Nov 2009 18:36:14 +0000

C’est étrange… Sur mon Ubuntu 9.04 avec LAMP et PHP 5.2.6, j’ai l’impression que je l’ai déjà :

Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.2 with Suhosin-Patch Server at localhost Port 80

Je n’ai pourtant installé que apache2, mysql-server et php5…

Par : Korben

Korben — Tue, 24 Nov 2009 12:27:27 +0000

@Avish: Avish 1 – Korben 0
Tant mieux alors pour les lighttpd fan… et sur nginx, on a des resultats ?

Par : Avish

Avish — Tue, 24 Nov 2009 12:10:52 +0000

@cloud:
J’ai même tester avec un script d’upload sur le serveur… aucun résultat.

@Korben:
Donc je confirme lighttpd n’est pas vulnérable même si c’est php qui l’est.

Vive lighttpd \o/ à mort Apache

Par : Avish

Avish — Tue, 24 Nov 2009 11:53:16 +0000

@Albat: Tu téléphones au support...

Par : Albat

Albat — Tue, 24 Nov 2009 11:51:04 +0000

et du coup, pour patcher un serveur mutualisé, on attend que l’hébergeur le fasse ou on peut se débrouiller tout seul ?

Par : Colin

Colin — Tue, 24 Nov 2009 11:36:03 +0000

Outch c’est la tuile.

Merci pour l’information, à transmettre de toute urgence.

Par : Korben

Korben — Tue, 24 Nov 2009 11:33:42 +0000

@Sebastien: Effectivement, ça a l'air d'être l'hécatombe là. En ce qui me concerne, c'est patché !

Par : Sebastien

Sebastien — Tue, 24 Nov 2009 11:29:18 +0000

Ca explique surement pourquoi de nombreux sites que je visite quotidiennement sont totalement down.
Ajaxian.com par exemple,
ou les centaines de milliers de site heberges sur dreamhost.com…

J’ai l’impression qu’on se dirige sur un crash majeur la… la faille est tres facilement exploitable et le temps que chaque administrateur patch son php…

Par : cloud

cloud — Tue, 24 Nov 2009 11:12:48 +0000

@Avish: Merci
Test bien d’ouvrir un code php genre un forum sur ton serveur car j’ai constaté en testant sur un serveur avec du contenu statique (même si PHP est présent) que cela ne bronchait pas.
J’avais testé sur un lighttpd aussi sans réussite.

J’ai testé également sur un Apache protégé par un RP (mod_security2) et la ca marche quand même.

Par : Avish

Avish — Tue, 24 Nov 2009 11:05:45 +0000

@cloud:

pas de soucis. Joli le code python.

Par contre vulnérabilité pas encore confirmé sur lighttpd ^^ avec 13000 et ton script mon serveur bronche pas.

Par : cloud

cloud — Tue, 24 Nov 2009 11:02:41 +0000

@Julien @frankoi : Attention le patch Suhosin ne protège en rien ! C’est le Suhosin PHP extension qui protège de cette vulnérabilité, ce n’est pas la même chose et beaucoup confondent

Par : cloud

cloud — Tue, 24 Nov 2009 10:57:40 +0000

@Armetiz, tiens j’avais codé le sploit ce week end : http://blog.madpowah.org/archives/2009/11/index.html#e2009-11-22T13_08_00.txt .
Avec 80 requêtes, ca commence à bien lagger ou à couper surtout quand tu as des connexions mysql dans les scripts. Apparemment les systèmes commencent à vraiment crasher au bout de 2 500 000 fichiers envoyés.

@Albat : Attention en aucun cas cela n’a un rapport avec une page d’upload. C’est du au fait que quand tu envoies des multipart/form-data, le serveur web via php crée en local des fichiers temporaires. Du coup au bout d’un moment, il a du mal à traiter

PS : ah Avish tu as été plus rapide à 4s prêt :p Merci pour le lien vers mon blog

Par : Avish

Avish — Tue, 24 Nov 2009 10:57:36 +0000

Ah tiens voila le code sur le site :

http://blog.madpowah.org/archives/2009/11/index.html#e2009-11-22T13_08_00.txt

Par : frankoi

frankoi — Tue, 24 Nov 2009 10:54:42 +0000

@Julien:
c’est pas le cas,
j’ai checké sur ma lenny

Par : Armetiz

Armetiz — Tue, 24 Nov 2009 10:47:59 +0000

Personnellement, je n’ai pas réussi à la faire fonctionner
Même avec 1 500 000 fichiers envoyés, rien ne plante. Enfin, j’ai une augmentation du temps de réponse de <1ms à 50ms, mais rien de bien méchant.

Mon attaque de Kévin ne doit pas être bien rodée :p

Par : Avish

Avish — Tue, 24 Nov 2009 10:46:13 +0000

@Korben: Ouai juste mais la config de l'upload et comment le serveur gère les processus est différent. J'aimerais bien tester si il plante mais ils donnent pas le code perl... @Julien: Après avoir contrôler sur mon serveur, il vient pas d'office.

Par : Julien

Julien — Tue, 24 Nov 2009 10:31:39 +0000

Je crois bien que sur une Debian Lenny on a le patch Suhosin d’origine (mais j’ai la flemme d’aller vérifier).
C’est comme le GRSEC pour la noyau : au début j’aimais pas trop, et finalement ça se rend utile de temps en temps

Par : lte

lte — Tue, 24 Nov 2009 10:31:20 +0000

« Et ne vous y trompez pas, même si vous n’avez pas de formulaire d’envoi de fichier sur votre site, la faille reste quand même exploitable »

ah ?

Par : Korben

Korben — Tue, 24 Nov 2009 10:27:32 +0000

@liandri: oui

Par : John

John — Tue, 24 Nov 2009 10:24:18 +0000

liandri: La faille concerne toutes les versions de PHP < 5.3.1

Par rapport à:

et rajouter :

; configuration for php suhosin module
extension=suhosin.so
[suhosin]
suhosin.upload.max_uploads = 25

La directive par défaut c'est 25, donc si vous laissez à 25 vous pouvez laisser le ; devant la ligne, il loadera par défaut.
Par contre l'extension suhosin change pas mal de choses sur votre serveur, donc si vous avez des sites gourmand sur votre serveur de mutu, vous pouvez éditer la conf, genre directement dans le vhost ou dans un htaccess ajouter:

php_admin_value suhosin.upload.max_uploads 50
php_admin_value suhosin.post.max_vars 10000
php_admin_value suhosin.request.max_vars 10000

Et pour les zones « protégées » ultra gourmandes, genre backoffice de cochon:

php_flag suhosin.simulation On

Ca vous désactivera suhosin dans le rep.