|
|
發(fā)布時(shí)間:2007-03-17
影響版本:
php php 5.2.1
php php 5.1.6
php php 5.1.5
php php 5.1.4
php php 5.1.3
php php 5.1.3
php php 5.1.2
php php 5.1.1
php php 5.1
php php 5.0.5
php php 5.0.4
php php 5.0.3
+ Trustix Secure Linux 2.2
php php 5.0.2
php php 5.0.1
php php 5.0 candidate 3
php php 5.0 candidate 2
php php 5.0 candidate 1
php php 5.0 .0
php php 5.2
漏洞描述:
php是一款廣泛使用的WEB開(kāi)發(fā)腳本語(yǔ)言。
php Session_Regenerate_ID函數(shù)存在雙釋放內(nèi)容破壞問(wèn)題,遠(yuǎn)程攻擊者可利用此漏洞對(duì)應(yīng)用程序進(jìn)行拒絕服務(wù)攻擊,可能導(dǎo)致任意指令執(zhí)行。
session_regenerate_id()函數(shù)最先會(huì)釋放舊的會(huì)話(huà)識(shí)別器,然后馬上分配由會(huì)話(huà)識(shí)別生成器生成的新值:
復(fù)制代碼 代碼如下:
php_FUNCTION(session_regenerate_id)
{
...
if (PS(id)) {
...
efree(PS(id));
}
PS(id) = PS(mod)->s_create_sid(&PS(mod_data), NULL TSRMLS_CC);
PS(send_cookie) = 1;
php_session_reset_id(TSRMLS_C);
RETURN_TRUE;
}
RETURN_FALSE;
}
但是此分配操作不是一個(gè)原子操作。因此可被如內(nèi)存限制沖突操作來(lái)中斷,另外,根據(jù)php配置,生成器可觸發(fā)php錯(cuò)誤也可導(dǎo)致一個(gè)中斷。
復(fù)制代碼 代碼如下:
phpAPI char *php_session_create_id(PS_CREATE_SID_ARGS)
{
...
switch (PS(hash_func)) {
...
default:
php_error_docref(NULL TSRMLS_CC, E_ERROR, "Invalid session hash function");
efree(buf);
return NULL;
}
...
if (PS(hash_bits_per_character) < 4
|| PS(hash_bits_per_character) > 6) {
PS(hash_bits_per_character) = 4;
php_error_docref(NULL TSRMLS_CC, E_WARNING, "The ini setting hash_bits_per_character...");
}
...
通過(guò)注冊(cè)一個(gè)惡意用戶(hù)空間錯(cuò)誤處理器可比較容易的利用此問(wèn)題。當(dāng)此處理器調(diào)用一個(gè)HASH表分配到前會(huì)話(huà)識(shí)別器相同的地方,然后惡意錯(cuò)誤處理器可以通過(guò)調(diào)用session_id()函數(shù)和分配包含偽造HASH表到HASH表相同地方,這樣來(lái)觸發(fā)另一個(gè)之前的會(huì)話(huà)識(shí)別器的釋放操作。當(dāng)用戶(hù)錯(cuò)誤處理器完成后會(huì)解構(gòu)覆蓋的HASH表而調(diào)用攻擊者提供的代碼。
http://www.php-security.org/MOPB/MOPB-22-2007.html
測(cè)試方法:
[www.sebug.NET]
本站提供程序(方法)可能帶有攻擊性,僅供安全研究與教學(xué)之用,風(fēng)險(xiǎn)自負(fù)!
http://www.php-security.org/MOPB/code/MOPB-22-2007.php
SEBUG安全建議:
目前沒(méi)有解決方案提供:
php技術(shù):PHP Session_Regenerate_ID函數(shù)雙釋放內(nèi)存破壞漏洞,轉(zhuǎn)載需保留來(lái)源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
