Kritická zranitelnost v PHP pro Windows

10. 6. 2024

13 nových názorů

PHP

Autor: Depositphotos

V PHP od verze 5.x byla před měsícem ve Windows objevena kritická zranitelnost CVE-2024–4577. Chyba může způsobit vzdálené spuštění kódu. Zranitelné je PHP-CGI, ale může být zneužito, i když není nakonfigurováno. Stačí aby php-cgi.exe bylo v adresáři, kam se dostane webserver. Zranitelné jsou tedy patrně všechny výchozí instalace XAMPP na Windows.

Chyba již byla opravena. Aktualizujte proto na verze 8.3.8, 8.2.20 a 8.1.29. Starší PHP 8.0, 7 a 5 již nedostávají podporu. Možný je také přechod z PHP-CGI na Mod-PHP, FastCGI, nebo PHP-FPM.

(zdroj: bleepingcomputer, arstechnica)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

10. 6. 2024 19:40

BlackMagic

Kdo hostuje veřejně dostupné PHP weby v XAMPPu na Windows?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 6. 2024 20:48

tumis

Bezne to uplne nebude. Ale urcite jsou treba mensi firmy, ktere maji win server a na nem nejaky vlastni web/webovou aplikaci, s trochou stesti spis pro interni potrebu a dostupny jen v mistni siti/pres VPN, ale tech lidi, co se k tomu mohou dostat bude asi vice nez kdyz to ma nekdo na vyvojarskem pocitaci dostupne jen na localhostu.

Jinak, kdo si neklikl na odkaz, maji tam pekny obrazek :-) (neni uplne novy nebo originalni, tak tem, co znaji se omlouvam).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 6. 2024 0:27

Jan Forman

Ono takových instalací bude hodně, jen to nebude XAMPP ale "enterprise" aplikace splácané do jednoho monolitu. Které se na první pohled tváří jako "sofistikovaný produkt" světoznámé firmy :-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 6. 2024 2:39

usruser

Mozna ne primo XAMPP, ale treba takovych WAMPu bude urcite hodne.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 6. 2024 8:43

tumis

On ten XAMPP je zminen hlavne kvuli tomu, ze ma jako vychozi nastaveni PHP-CGI (aspon tedy dle clanku, neoveroval jsem). Wamp ma Mod-PHP.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 6. 2024 9:04

Vít Šesták

> Stačí aby php-cgi.exe bylo v adresáři, kam se dostane webserver.

1. V původním popisu jsem toto nenašel?
2. Jak? Samotná přítomnost tohoto souboru přece ještě automaticky neznamená, že jej bude server spouštět, ne? Zvlášť, když může být (podle popisu) vlastně kdekoliv.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 6. 2024 10:11

Fík

Zlatý podporovatel

Psali to na bleepingcomputer (ve zdroji).
V tom popisu to bude tady:

"Scenario 2: Exposing the PHP binary (also the default XAMPP configuration)

Even if PHP is not configured under the CGI mode, merely exposing the PHP executable binary in the CGI directory is affected by this vulnerability, too. Common scenarios include, but are not limited to:

Copying php.exe or php-cgi.exe to the /cgi-bin/ directory.
Exposing the PHP directory via ScriptAlias directive, such as: "
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 6. 2024 10:13

Vít Šesták

Díky za vysvětlení. Ono „exposing the PHP executable binary in the CGI directory“ už dává smysl, ale „… v adresáři, kam se dostane webserver“ mi přijde jako už moc volný překlad.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 6. 2024 10:19

Fík

Zlatý podporovatel

Já to pochopil tak, že když není v cgi-bin, tak si ho tam nejdříve útočník může nakopírovat a pak zneužít. Ale možná je to jinak.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 6. 2024 10:43

Vít Šesták

Pokud útočník může něco nakopírovat do cgi-bin, pak tam může nakopírovat třeba zranitelnou verzi, nebo i úplně vlastní binárku. Potom by ale tím útokem získal jen to, co již má.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 6. 2024 15:24

Fík

Zlatý podporovatel

Nakopírovat asi jen lokálně, ne? Jak teda útočník nakopíruje úplně vlastní binárku?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 6. 2024 16:12

Vít Šesták

Pokud útočník má způsob, jak do cgi-bin nakopírovat nějakou lokální binárku, ale ne úplně libovolný soubor:

1. Přijde mi to jako nějaký dost specifický scénář. (Ale možná znáte případ, kdy je relevantní.)
2. Z té zprávičky jsem to pochopil mnohem šířeji.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 6. 2024 16:38

Bez přezdívky:

Pro me je zdeseni ze PHP 7 je mrtve a je jiz 8. A na Endore zamrzli na PHP 7.4! Ale neni se cemu divit, kdyz posledni novinku maji PF 2022.

Ocividne WebGlobe nema zajem platformu dal rozvijet a az tam nikdo nezustane, tak reknou ze o to nebyl zajem. Ze chteli pokracovat a dodrzet slib ze to nezrusi, ale kdyz je to ztratove, tak to preci nebudou dotovat.

Zasílat nově přidané názory e-mailem

+18

Jan Fikar

První linux nainstaloval kolem roku 1994 a u něj zůstal. Později vystudoval fyziku a získal doktorát.

Témata:

PHP
Windows