Ein Nachtrag zum MOPS: RedHat reagiert
Kommentare

Der Month of PHP Security
(MOPS)
ist vorbei, Schwachstellen in PHP gibt es weiterhin. Eine neue wurde von
Stefan Esser während eines Vortrags auf der Sicherheitskonferenz
SyScan Singapore 2010

Der Month of PHP Security (MOPS) ist vorbei, Schwachstellen in PHP gibt es weiterhin. Eine neue wurde von Stefan Esser während eines Vortrags auf der Sicherheitskonferenz SyScan Singapore 2010 und kurz darauf quasi als Nachschlag zum MOPS auf dessen Website veröffentlicht: Eine Use-After-Free-Schwachstelle bei der Deserialisierung von SPLObjectStorage-Objekten erlaubt das Ausspähen von Speicherblöcken und die Ausführung beliebigen Codes (MOPS-2010-061).

Alle Versionen betroffen, Suhosin schützt nicht immer

Betroffen sind PHP 5.2 bis einschließlich Version 5.2.13 und PHP 5.3 bis einschließlich Version 5.3.2, wobei im Fall von PHP 5.2 aufgrund von Abweichungen im Aufbau des SPLObjectStorage nur 32-Bit-Systeme betroffen sind. Der auf der Konferenz vorgestellte Exploit funktioniert nur, wenn Suhosin nicht installiert ist, aufwendigere Exploits erlauben aber auch das Umgehen von dessen Schutzfunktionen.

Eine ausführliche Analyse der Schwachstelle samt eines Exploits gibt es im Nibbles microblog.

„Conference Disclosure“ mit interessanten Folgen

Stefan Essers Weg zur Veröffentlichung dieser Schwachstelle ist nicht neu, schon früher wurden Schwachstellen als 0-Days auf Konferenzen veröffentlicht. Neu ist die Reaktion auf die Veröffentlichung: Im Publikum saß ein Mitglied des RedHat Linux Security Team, dass die Informationen über die Schwachstelle sofort an die zuständigen Personen bei RedHat weiterleitete. Die entwickelten laut Stefan Esser bereits einen Patch für ihre Version von PHP und leiteten ihn an die PHP-Entwickler weiter. Inzwischen steht der offizielle Patch im SVN-Repository von PHP zur Vefügung. Wann die neuen Versionen veröffentlicht werden, ist noch nicht bekannt.

Die RedHat-Entwickler hatten übrigens einen guten Grund, die Schwachstelle zügig zu beheben: Stefan Esser hat für seinen Demo-Exploit ein Fedora-System verwendet, da Fedora die einzige große Linux-Distribution ist, die auf den Einsatz von Suhosin verzichtet und dadurch den Angriff erleichtert.

Carsten Eilers
Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -