- בלוג
- ארגון PHP מוציא עדכון שמתקן 17 פרצות
ארגון PHP מוציא עדכון שמתקן 17 פרצות
ארגון PHP מוציא עדכון שמתקן 17 פרצות
פורסם ב 06-10-2024
מספר בלתי מבוטל של פרצות נמצאו ב-PHP, כאשר כל אחת בעלת דירוג חומרה שונה ובעלת השפעה שונה על המערכת המותקפת דרכה. הפרצות תוקנו בגרסאות 8.1.30, 8.2.24 ו-8.3.12 של PHP, והן מתקיימות בכל הגרסאות הקודמות להן.
ניתן לקרוא את הדיווח המלא של פרוייקט PHP על כל הפרצות כאן.
שימו לב שחלק מהפרצות “עוקפות” את התיקונים של פרצות קודמות. סביר שמדובר ב”פספוס” בעדכון קודם, אך ייתכן שמדובר בנסיונות אקטיביים להמשיך לנצל פרצות. כמו כן, ניתן לראות שהתאריכים של מציאת הפרצות מתפרשים על פני זמן רב – הראשונה מתוארכת ל-15.2.2023.
קצת על הפרצות שנמצאו השבוע:
CVE-2024-8925 – פרצה זו מנצלת חולשה שטמונה בהפרדת המידע הנשלח כבקשת HTML אחת המכילה מספר סוגי מידע, למשל מידע טקסט ומידע בינרי (המונח הטכני הוא multipart form data). מידע בבקשה עשוי “ללכת לאיבוד”, והתוקף יכול להחדיר לבקשה שורות קוד זדוני. שורות הקוד האלה מגיעות יחד עם שורות הקוד הלגיטימיות בבקשה, כבקשה אחת.
הפרצה דורגה 3.1 מתוך 10 בסולם CVSSv3, בשל המורכבות היחסית גבוהה שלה (בין היתר).
פרטים נוספים ניתן לקרוא כאן.
CVE-2024-8926 – עוקפת את התיקון לפרצה CVE-2024-4577, מאחר שהוא לא בוצע כראוי.
הפרצה, כמו קודמתה, פועלת על מערכות ווינדוס, בקונפיגורציות לא סטנדרטית של עמודי-קוד. היא מאפשרת לתוקף להכניס לבקשת HTML הנשלחת לאפליקציות שונות פקודות שרירותיות שונות של מערכת ההפעלה. זאת, בשל ווידוא בלתי מספיק של הקלט בהטמעת PHP-CGI.
בתיאור המפורט של הפרצה, מצויין שיש צורך בקונפיגורציות מאוד ספציפיות בכדי שהפרצה תתקיים.
היא מדורגת כפרצה ברמת סיכון בינונית – 5.5 מתוך 10 בסולם CVSSv3 – וניתן למצוא עליה פירוט נוסף כאן.
CVE-2024-8927 – באג המאפשר לעקוף את קונפיגורציית cgi.force_redirect
.
הקונפיגורציה מיועדת למנוע תקשורת ישירה בין סקריפט PHP הרץ על השרת במצב CGI לבין כתובת URL המתקשרת במצב CGI. היא למעשה “מבודדת” את קוד ה-PHP הרץ על השרת, כך שקצת יותר קשה לבצע מתקפות דרכו.
הבאג מאפשר לתוקף לעקוף את הקונפיגורציה, ולבצע קריאה ישירות לקוד ה-PHP – ולבסוף, לגנוב ולשנות מידע רגיש, או לקבל גישת אדמין לשרת.
מלבד דירוגה של הפרצה כ-5.3 מתוך 10 בסולם CVSSv3 “בלבד”, היא איננה מתקיימת בקונפיגורציות סטנדרטיות (ככל הידוע).
ניתן לקרוא עוד על הפרצה כאן.
CVE-2024-9026 – הפרצה היא למעשה באג בקונפיגורציית catch_workers_output = yes
, המתקיימת ב-PHP FPM, המאפשר לתוקפים לשנות קבצי לוגים (logs) שמייצרים ה”עובדים” (workers).
PHP-FPM הוא מעין מנהל תהליכים של PHP, ואחד מתפקידיו העיקריים הוא לייצר “עובדים” – תהליכים המקבלים מספר בקשות PHP בו זמנית. כך, ניתן להבטיח פעולה מהירה ויעילה יותר של המערכת כאשר מדובר בתהליכי PHP.
בהפשטה, ניתן להוסיף או להפחית עד 4 תווים מהלוגים ששולחים ה”עובדים” ממאקרו FPM_STDIO_CMD_FLUSH
דרך קונפיגורציית catch_workers_output = yes
.
כמו כן, ייתכן שניתן להסיר יותר תווים מקבצי הלוג, באם מתבצע שימוש ב-Syslog (פרוטוקול דרכו המערכת שולחת event logs למקור אחסון מרכזי כלשהו). הדבר לא נבדק, ולכן לא נרחיב עליו כאן.
שינוי של קבצי לוג – שמטרתם לספר מה עבר על המערכת – מאפשר להעלים מידע חשוב כאשר מתבצע ניסיון חדירה למערכת, או לאחר שהוא כבר בוצע. הפרצה קיבלה דירוג של 3.3 מתוך 10 בסולם CVSSv3 (איום נמוך).
לפירוט טכני כיצד הפרצה מתבצעת, וכיצד (פוטנציאלית) ניתן לשנות קבצי לוג כאשר המערכת משתמשת ב-Syslog ניתן לקרוא כאן.
למרות דרגות האיום היחסית נמוכות/בינוניות של מרבית הפרצות, ישנן מספר פרצות שקיבלו דירוג איום גבוה, ואחת שדורגה כפרצה קריטית. לאור זאת, אנו ממליצים לכם לעדכן את PHP המערכות שלכם בהקדם – אין לדעת מי, אפילו ברגעים אלה, מנסה לנצל אותן (או כבר ניסה והצליח בעבר, ועשוי לנסות שוב).
לעזרה נוספת ולכל דבר אחר, נשמח אם תפנו אלינו. צור קשר