PHP <= 4.4.3 / 5.1.4 (objIndex) Local Buffer Overflow Exploit

Ошибка уже исправлена в CVS. Ждём выхода новых версий.

>атаку вида local buffer underflow

>позволить атакующему получить shell с правами запущенного HTTP сервера на удалённой системе.

локальная или удалённая уязвимость?

Что за херня? В заголовке Local Buffer Overflow, в тексте local buffer underflow.

неувязочка вышла

БУГОГА!

Скажите же мне скорее, как мне получить шелл с правами пользователя, от которого работает http-сервер?

nginx + php.fcgi, причем php балансится на кластер удаленных серверов :-)

>локальная или удалённая уязвимость?

дырища...заливаешь сплоит хостеру и получаешь шелл с правами nobody

:)

> Что за херня? В заголовке Local Buffer Overflow, в тексте local buffer underflow.

Вот и на securityfocus тоже самое.

> локальная или удалённая уязвимость?

Если вы по FTP или web interface может залить php файл, то удалённая. Если у вас итак уже shell есть, то локальная ;).

Гм. Это уязвимость из серии "как обойти ограничения open_basedir". Потенциальными жертвами могут быть только хостеры.

А своя голова тебе зачем? К тому же если почитать оригинал http://bugs.php.net/bug.php?id=38322

Actual result: -------------- will try to dereference a pointer to pointer which usually causes segmentation fault

то можно понять что все разговоры про shell - эротические фантазии автора.

Если у меня уже шелл есть, то как мне сабж-то поможет? Никак :) Поэтому пусть уж будет ремотная.

Ну все, венде капец :)))

> Ну все, венде капец :)))

нет, это лору капец, он потихоньку превращается в багтрак

ждем ебилдов...

> shell с правами запущенного HTTP сервера на удалённой системе.

с правами nobody? Жжжесть! )))

>> shell с правами запущенного HTTP сервера на удалённой системе.

> с правами nobody? Жжжесть! )))

А вот инетересно, как много сервисов обычно работает с правами nobody (я подозреваю, что это у free'шников, slackware'шиков и т.п., кто привык все ставить волшебными командами "./configure;make;make install"). Это я к тому - сколько еще сервисов сразу подпадает под раздачу (там наверное не только apache под nobody)?

ЗЫ. у меня (Centos4), например, apache работает под пользователем apache, в debian (если мне не изменяет память) под пользователем www-data.

> я подозреваю, что это у free'шников, slackware'шиков и т.п., > кто привык все ставить волшебными командами "./configure;make;make install"

Раньше я тоже подозревал free'шников в подобном пиАнЭрстве, но на деле всё оказалось гораздо проще: "pkg_add -r php5", если обновляешься из бинарников, или "portsnap fetch update && portupgrade php5", если до этого собирал из портов со своими опциями.

Мальчик, ты дурак?
Самое ценное что есть -- это не система, которая переставляется без проблем.
Самое ценное -- это данные. В том числе зааплоаженные через http. а с правами http-демона их можно удалить.

> ошибка, которая позволяет проводить атаку вида local buffer underflow

buffer underflow? Фигасе.

>buffer underflow

Недополнение буфера?

МяФ!:) что за манера говорить о том чего вы незнаете... во FreeBSD apache работает от пользователя www и группы www, а вам уважаемый нужно идти в дет сад, там можно нести чушь и не отвечать за свои слова...

> Это я к тому - сколько еще сервисов сразу подпадает под раздачу (там наверное не только apache под nobody)?

хмм... mysql? (который без апача в даном случае и не используется)

>> Это я к тому - сколько еще сервисов сразу подпадает под раздачу (там наверное не только apache под nobody)?

> хмм... mysql? (который без апача в даном случае и не используется)

вообще, по взрослому - под каждый сервис своего пользователя.

>Самое ценное -- это данные.

угум.

>В том числе зааплоаженные через http.

не понял, что сделанные, но видимо - что-то сексуальное....

>а с правами http-демона их можно удалить.

это вряд ли. ;)

зы: mysql таки с правами mysql, а c nobody - тока apache. )

>не понял, что сделанные,

учи албанский ))

upload - загружать.

>upload - загружать.

загрузка данных по хттп??? весьма сексуально!))

зы: таки не совсем я профан в "албанцком"! ))

/me пошло бобить форумы ;)

люди созданы по образу и подобию, роботы по образу и подобию людей, следовательно, роботы - внуки бога.

>> а с правами http-демона их можно удалить.

>это вряд ли. ;)

> зы: mysql таки с правами mysql, а c nobody - тока apache. )

Удалить вряд ли, а вот прочитать -- легко. Включая, например, всякие config.inc.php с паролями к mysql ;)

Ты темой не ошибся?

А я хочу себе рабочий сервер на xen перевести, т.к. изза небольшого бюджета на одном серваке крутиться черт знает что, и обезопасить себя запуском веб сервера в отдельной гостевой системе...мне кажеться это будет реальной помощью для поддежания секурности....Руки и голову конечно никто не отменял, но......

> загрузка данных по хттп??? весьма сексуально!))

С полями file в формах встречались?

>>а с правами http-демона их можно удалить.

> это вряд ли. ;)

> зы: mysql таки с правами mysql, а c nobody - тока apache. ) 

Номер раз: можно прочитать из конфигов как доступиться к базе, т.к. конфиги 100% читаемы http-демоном

Номер два: существует такая вещь, как HTTP-метод POST. А вот результаты его работы на одном из сайтов:

root@barrel:/var/www# du -sh xxx.xxx.net/data/
56G     ../xxx.xxx.net/data/

А все что httpd сделано, httpd и стирается.

> загрузка данных по хттп??? весьма сексуально!))

Обратите внимание на мою интуицию! Я назвал его дураком еще _ДО_ того, как он это наглядно подтвердил. И я не ошибся!

RFC 2616, в общем, кури.

>Самое ценное -- это данные. В том числе зааплоаженные через http. а с правами http-демона их можно удалить.

А если нельзя? Ведь если данные ценные, то в БД на них стоит для пользователя nobody, скорее всего, ro. Правда, аплоаженные...

> Обратите внимание на мою интуицию! Я назвал его дураком еще _ДО_ того, как он это наглядно подтвердил. И я не ошибся!

Загрузка данных на сервер по HTTP потенциально опасная вещь вне зависимости от степени дырявости чего бы то ни было. И по возможности от нее надо немедленно избавляться.

А кстати народ тут практикует доступ апаче на запись на весь www-root ? Самоубийцы.

>А кстати народ тут практикует доступ апаче на запись на весь www-root ? >Самоубийцы.

Тут народ пых-пых практикует ... Самоубийцы :))

> А я хочу себе рабочий сервер на xen перевести, т.к. изза небольшого бюджета на одном серваке крутиться черт знает что, и обезопасить себя запуском веб сервера в отдельной гостевой системе...мне кажеться это будет реальной помощью для поддежания секурности....Руки и голову конечно никто не отменял, но......

лучше openvz покрути. полегче он будет.

> А вот инетересно, как много сервисов обычно работает с правами nobody (я подозреваю, что это у free'шников...

Дурак! # grep "World Wide Web" /etc/passwd www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin

> Самое ценное -- это данные. В том числе зааплоаженные через http. а с правами http-демона их можно удалить.

сделать chown на рута при аплоаде никак? для _легального_ удаления оставить систему скриптов, делающих rm через sudo, надеюсь, как организовать недоступность чтения содержимого скрипта от имени www не надо? И заодно организовать передачу параметра скрипту, не указывающего явным образом на файл, тоже догадаетесь?

в албанском может и не профан, но в http походу полный.

rtfm на тему POST.

> Загрузка данных на сервер по HTTP потенциально опасная вещь

умный анонимус, а подскажи, как в любом вебмейле сделать фичу для аттача файла, кроме как загрузки его по HTTP? Наверное ftp открывать для каждого ящика.

ты просто гений. сделать chown на рута. Пеши исчо. Как же приятно с утра лор почитать. Настроение поднято на весь день.

>> загрузка данных по хттп??? весьма сексуально!))

> С полями file в формах встречались?

и что? вон, электронной почтой тоже _можно_ бинарники слать. это повод отказаться от ftp?

>умный анонимус, а подскажи, как в любом вебмейле сделать фичу для аттача файла, кроме как загрузки его по HTTP? Наверное ftp открывать для каждого ящика.

этот файл ты прям на диск пишешь, прям в почтовый ящик?? ну-ну.

Блин саныч же сказал , что максимум segmentation fault Проверил на Centos 4.3 настройки apache, php дефалтовые. ну и действительно segmentation fault и получил . Или я чего-то недопонял ???

Ага, знаем: "когда сказать по поводу нечего - жалко по-дебильному лыбимся или ржом".

Смейсо-смейсо, деревянненький ты наш.

У всех нормальных людей php запускаетс/ через suexec, то есть можно получить только собственный shell
Вывод: exploit актуален только у недохостеров, использующих safe_mode. Но такие должны просто умереть, в чем приложенный exploit должен помочь.

>RFC 2616, в общем, кури.

ну и где там написано, что "grinn - дурак, т.к. считает загрузку данных на http сервер по http - делом небезопасным и, в известном смысле, - даже сексуальным"??? )))

>У всех нормальных людей php запускаетс/ через suexec, то есть можно получить только собственный shell Вывод: exploit актуален только у недохостеров, использующих safe_mode. Но такие должны просто умереть, в чем приложенный exploit должен помочь.

А еще плюск к этому chroot апача + grsec + mod_security + vserver :) Мож я и параноик , но у меня именно так :)

Если через интерфейс сайта что-то в базе менялось, то соответственно имея доступ к исходникам можно получить доступ к базе на изменение. ИМХО, очевидно.