Vulnerabilitati multiple in PHP

[BuGsY]

Dezvoltatorii proiectului PHP au anuntat lansarea a doua noi versiuni actualizate din seriile 4.x si 5.x, care elimina o serie de vulnerabilitati care puteau permite unui atacator sa compromita un sistem afectat.

Noile versiuni de PHP corecteaza un numar mare de erori si vulnerabilitati raportate in versiunile anterioare. Cele mai grave puteau permite:

• # lansarea de atacuri de tip Denial of Service (DoS)
  # accesul neautorizat la date confidentiale
  # posibila executie de cod aleator datorita erorilor de tip buffer overflow
  # evitarea restrictiilor de securitate implementate in safe_mode
  # erori de acces la memorie datorita verificarilor incorecte de limite

Solutii:
Este recomandata actualizarea imediata la versiunile 4.3.10 sau 5.0.3 care elimina vulnerabilitatile. Versiunile actualizate sunt disponibile pentru descarcare de la adresa: http://www.php.net/downloads.php


Vulnerabilitatea a fost publicata de http://www.hardened-php.net
Pentru mai multe detalii:
http://www.hardened-php.net/advisories/012004.txt
http://www.php.net/ChangeLog-4.php#4.3.10
http://www.php.net/ChangeLog-5.php#5.0.3

[bogdan]

Net worm using Google to spread

A Web worm that identifies potential victims by searching Google is spreading among online bulletin boards using a vulnerable version of the program phpBB, security professionals said on Tuesday. The Santy worm uses a flaw in the widely used community forum software known as the PHP Bulletin Board (phpBB) to spread, according to updated analyses. The worm searches Google for sites using a vulnerable version of the software, antivirus firm Kaspersky said in a statement.

Almost 40,000 sites may have already been infected. Using Microsoft's Search engine to scan for the phrase "NeverEverNoSanity"--part of the defacement text that the Santy worm uses to replace files on infected Web sites--returns nearly 39,000 hits. "Santy.a is spreading rapidly," antivirus firm Kaspersky stated in a new release published Tuesday. "However, this does not directly affect users. Although the worm infects Web sites, it does not infect computers used to view those sites."

The worm sends Google a specific search request, essentially asking for a list of vulnerable sites. Armed with the list, the worm then attempts to spread to those sites using a PHP request designed to exploit the phpBB bulletin board software. The worm is the latest twist on using Google as an attack tool, a practice known as Google hacking. It may also be the first time a program used Google to identify victims for an attack.
Around 6 million sites appear to be running the phpBB software, according to a search of Google for the phrase "Powered by phpBB"--an acknowledgment appended to the bottom of any site that uses the software.

"There are tons of these PHP bulletin board installs around," said Johannes Ullrich, chief technology officer of the Internet Storm Center, which tracks online threats. Initial analyses by the ISC had concluded that the flaw exploited by the worm occured in the software that interprets Web pages written scripting language PHP: Hypertext Preprocessor (PHP). That flaw was found last week.

Using Google to determine vulnerable sites is not an academic exercise. The worm does exactly that: Once Santy infects a Web site, it searches Google for other sites running phpBB and then attempts to infect those sites as well. After it has taken over a site, the worm deletes all HTML, PHP, active server pages (ASP), Java server pages (JSP), and secure HTML pages, and replaces them with the text, "This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X," according to Kaspersky. For "X," the worm inserts a number representing how far the current instance of the program is descended from the original worm release. MSN searches have found 24th generations of the worm.

Google did not immediately comment on the worm, but a spokesman did say that the company had seen the information and had started to study the issue. The response, or lack thereof, frustrated some members of the antivirus community, who believed that the search giant could easily stop the worm by filtering out its search for victims. "We know exactly which searches to stop," said Mikko Hypponen, research director of antivirus firm F-Secure. "It would be trivial to stop this thing."

Web sites using a vulnerable version of phpBB should upgrade, the phpBB Project site advises.

http://news.zdnet.com/2100-1009_22-5499725.html

[bogdan]

phpBB Arbitrary Execution

An input validation flaw was reported in the phpBB web forum software. A remote user can execute arbitrary PHP code, including system commands, on the server.

JCC issued a security advisory warning of an include statement bug in the 'install.php' script that can be exploited when the 'php.ini' file is configured with the following options:

Cod: Selectaţi tot

allow_url_fopen = On

register_globals = On

A remote user can specify the value of the $phpbb_root_dir to cause arbitrary PHP code located on a remote user to be executed on the target server.

A sample URL is provided:

Cod: Selectaţi tot

http://URL/install.php?phpbb_root_dir=WANTED_TO_INCLUDE

Solution:
The author of the report has provided a workaround: configure allow_url_fopen = off and register_globals = off. Remove or rename install.php.

http://www.phpadvisory.com/advisories/view.phtml?ID=42

[danielt]

Vis-a-vis de ultima problema aparuta. Va trebui cu si mai multa responsabilitate urmati pasii indicati la instalarea forumului! Necesitatea stergerii fisierelor de instalare de la MODificari sau de la update-uri este absolut obligatorie.

[bogdan]

De asemenea, aveti in atentie faptul ca pe PHP 5.x forumul phpBB 2.0.x nu functioneaza corect fara anumite modificari in cod !

[BuGsY]

Atacuri asupra site-urilor cu phpBB

A fost raportata aparitia unui atac asupra site-urilor web care folosesc phpBB, si care are ca efect distrugerea completa a datelor stocate in fisierele ce constitue site-ul respectiv.

Pe data de 22 Noiembrie, GeCAD NET a lansat o alerta de grad ridicat despre o serie de vulnerabilitati descoperite in phpBB versiunea 2.0.10. Una dintre acestea parea sa fie posibil de exploatat pentru a executa cod controlat de un posibil atacator, pe sistemul afectat (pentru mai multe detalii, consultati Vulnerabilitati in phpBB).

Incepand din 21 Decembrie, companii producatoare de programe antivirus, precum Trend Micro si Symantec, au primit semnale ca a aparut si se propaga pe Internet o amenintare asemanatoare din punctul de vedere al comportamentului cu un virus de tip worm, care exploateaza vulnerabilitatea prezentata mai sus din phpBB pentru a se raspandi. Aceasta amenintare a primit numele de Santy.

Amenintarea este reprezentata printr-un fisier script Perl, care foloseste motorul de cautare de la Google pentru a cauta servere de web care folosesc phpBB. Odata identificat un astfel de server, se va incerca exploatarea vulnerabilitatii prezentate mai sus. In cazul in care aceasta reuseste, viermele se va copia pe serverul atacat si se va lansa in executie, reluand atacurile si de pe noul server compromis.

Dupa detectarea atacurilor, echipa tehnica de la Google a modificat modul de acces la motorul de cautare astfel incat in acest moment cautarile efectuate prin acest script sunt blocate, ca urmare raspandirea acestuia se pare ca a fost intrerupta.

Sunt vulnerabile toate serverele de Internet care gazduiesc servicii web si au instalat phpBB versiunea 2.0.10 sau inferioara.

Nota: Aceasta amenintare nu are ca tinta utilizatorii ce folosesc browsere de Internet pentru a vizita site-uri, ci doar serverele de Internet.

Deoarece pe serverul compromis toate fisierele cu continut web de pe site sunt suprascrise, conform motorului de cautare MSN Search (beta), au fost gasite peste 30.000 de site-uri continand textul folosit de worm pentru a suprascrie fisierele.

Avertizare: Deoarece atacul este relativ simplu de executat si exista astfel deja un precedent, este posibila aparitia de variante care sa foloseasca alte motoare de cautare sau alte metode de cautare.

Solutii:
• In cazul in care site-ul dumneavoastra are instalat phpBB, este absolut necesar sa actualizati la versiunea 2.0.11 care elimina vulnerabilitatea.
• Deoarece de curand au fost lansate noi versiuni de PHP care elimina o serie de vulnerabilitati, este recomandat sa actualizati si utilitarul PHP.

Alte analize ale acestei amenintari pot fi gasite la adresele:
http://www.trendmicro.com/vinfo/virusen ... .A&VSect=T
http://securityresponse.symantec.com/av ... santy.html
http://www.avira.com/en/threats/Perl_Santy.html
http://www.gecadnet.ro/antivirus/?AID=1355

[BuGsY]

Dacă aveţi ultima versiune de phpBB, 2.0.11 nu aţi scăpat de toate incovenientele. Forumul tău este securizat însă există foarte mulţi utilizatori anonimi care în continuare încearcă să îţi execute cod-ul highlight.
Pentru a scăpa de acesti utilizatori “anonimi” nu aveţi decât să faceţi un fişier pe care îl veţi plasa în directorul rădăcină al forumului şi pe care îl veţi numi .htaccess
În el va trebui să aveţi aceste linii:

Cod: Selectaţi tot

RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$   -   [F,L]

Altfel spus linkurile ce conţin &highlight=%2527 nu mai sunt parsate
Ex.: http://www.jucaushii.ro/forum/viewtopic ... ight=%2527

Aveţi mare grijă ca fişierul viewtopic.php să nu conţină aceste linii:

Cod: Selectaţi tot

$highlight_match = $highlight = ''; 
if (isset($HTTP_GET_VARS['highlight'])) 
{ 
   // Split words and phrases 
   $words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight'])))); 

   for($i = 0; $i < sizeof($words); $i++) 
   {

În caz contrar înlocuiţi liniile de mai sus cu aceastea:

Cod: Selectaţi tot

$highlight_match = $highlight = ''; 
if (isset($HTTP_GET_VARS['highlight'])) 
{ 
   // Split words and phrases 
   $words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight']))); 

   for($i = 0; $i < sizeof($words); $i++) 
   {

[BuGsY]

Viermele anti-Santy
Un vierme anti-Santy care se foloseşte de motoarele de căutare pentru a se răspândi pe Internet şi-a făcut recent apariţia, au anunţat companiile de securitate informatică.

Compania finlandeză de securitate informatică F-Secure a anunţat că are cunoştinţă de existenţa a cel puţin şapte site-uri care au fost supuse defacing-ului de către acest vierme, care la prima vedere pare a combate un alt vierme care a început să se răspândească anterior, Santy.

Viermele anti-Santy, care caută cu ajutorul Google site-urile care folosesc programul PHP Bulletin Board (phpBB) exploatat de Santy, infectează site-urile în cauză şi încearcă să le „securizeze” prin instalarea unui patch.

Mikko Hyppönen, directorul echipei de cercetare anti-virus de la F-Secure, spune că, deşi viermele pare la prima vedere benefic, probabilitatea ca acesta să cauzeze probleme administratorilor de site-uri este foarte ridicată, din cauza creşterii traficului.

„Nu pot să comentez despre eficienţa acestuia în securizarea site-urilor. Dacă un site este însă infectat, viermele cauzează un volum de trafic imens în urma căruia este încetinit. Nu cred că este posibil să fie clasificat ca un vierme cu efecte benefice”, a declarat Hyppönen.

Site-urile care au fost atacate de viermele anti-Santy afişează următorul mesaj: „viewtopic.php secured by Anti-Santy-Worm V4. Your site is a bit safer, but upgrade to >= 2.0.11.”

Hyppönen spune că a văzut două versiuni ale paginii de defacement, care au condus la două adrese IP diferite. Ambele IP-uri sunt localizate în Argentina, care pare a fi şi sursa viermelui anti-Santy.

Viermele Santy a făcut prăpăd în săptămânile dinaintea Crăciunului, răspândindu-se pe peste 40.000 de site-uri.