Mandrake: Verschiedene Schwachstellen in PHP

Mandrake Software warnt heute vor einigen Schwachstellen bei der Verwendung bestimmter Funktionen der Web-Skriptsprache PHP Mandrake Linux 10.0, 10.1 und 9.2, sowie dem Corporate Server 2.1.


Fehler in der Funktion unserialize() in php

Durch ungenuegende Pruefung der Eingaben kann die Funktion unserialize() dazu gebracht werden, noch benutzte Speicherbereiche freizugeben bzw. Speicher mehrmals freizugeben. U.u. kann dies von einem entfernten Angreifer zur Ausfuehrung beliebigen Codes mit den Rechten von php genutzt werden.

Weiterhin ist es moeglich, Referenzen auf bereits freigegebene Speicherbereiche zu erzeugen. Ein entfernter Angreifer kann so an potentiell vertrauliche Informationen gelangen. Fuer diesen Teil der Schwachstelle existiert bereits ein oeffentlich verfuegbarer Exploit.

Buffer Overflow in exif_read_data() in php

In der Funktion exif_read_data() kann durch einen langen Section-Name ein Buffer Overflow ausgeloest werden. Ein entfernter Angreifer kann dadurch u.U. beliebige Befehle mit den Rechten von php ausfuehren.

Fehler in shmop_write(), pack() und unpack() in php

Durch einen nicht naeher spezifizierten Fehler in shmop_write() wird evtl. ausserhalb des gueltigen Bereichs schreibend zugegriffen. Bei Ausnutzung dieser Schwachstelle kann der php-Prozess zum Absturz gebracht werden.

Weiterhin werden die Parameter der Funktion pack() ungenuegend ueberprueft, so dass es zu einem Heap Overflow kommen kann. Ein entfernter Angreifer kann bei erfolgreicher Ausnutzung beliebigen Code mit den Rechten von php ausfuehren.

Es existiert ein Integer Overflow in der Funktion unpack(), welcher von einem entfernten Angreifer verwendet werden kann, um an vertrauliche Daten des Webservers zu gelangen.

Inkorrekte Behandlung von Strings in addslashes() in php

Die Funktion addslashes() wird in php-Skripten oft verwendet, um von Benutzern bereitgestellte Daten nach Sonderzeichen zu durchsuchen und zu maskieren. Die Funktion behandelt '' in Strings nicht korrekt. Ein entfernter Angreifer ist dadurch indirekt in der Lage, beliebige Dateien im Dateisystem des Servers auszulesen.

Umgehung der safe_mode Pfad-Verkuerzung in php moeglich

Im safe_mode werden Pfade automatisch gekuerzt, wenn diese laenger als MAXPATHLEN Zeichen lang sind. Durch einen Fehler in der safe_mode Implementierung zusammen mit Fehlern in der Funktion real_path(), kann ein entfernter Angreifer diese Ueberpruefung umgehen und erfolgreich Pfade angeben, die durch den safe_mode Test abgefangen werden sollten.

Schwachstelle in Funktion real_path() in php

Aeltere Implementierungen der Funktion real_path() kuerzen den angegebenen String auf eine maximale Laenge. Ein entfernter Angreifer kann dadurch evtl. beliebige Dateien im Dateisystem des Webservers auslesen. Voraussetzung dafuer ist z.B. ein PHP-Skript, das Dateien durch einen Include-Befehl einliest, der Eingaben vom Benutzer enthaelt.

Damit ein Angreifer die Schwachstellen ausnutzen kann, muss zum Teil auf dem Server ein php-Skript existieren, welches eine verwundbare Funktion aufruft. Zum Teil ist es ausserdem notwendig, dass von Benutzer angegebene Daten an die Funktion uebergeben werden.

Quelle: DFN-CERT