PHP DoS漏洞再现 虽然利用难度较高 绿盟科技发出分析和防护方案

简介:

www.securityfocus.com 网站发出公告称,PHP中用于二进制计算的模块“bcmath.c”存在多个本地堆溢出漏洞,该漏洞有可能导致 DoS攻击。漏洞CVE编号分别为:CVE-2016-4537和CVE-2016-4538。绿盟科技将此漏洞级别定为 中,意味着影响范围可控,危害程度可控,利用难度较高。

QQ%E6%88%AA%E5%9B%BE20160909144223.png

PHP bcmath.c 漏洞危害及影响

CVE-2016-4537漏洞存在于ext/bcmath/bcmath.c库中的bcpowmod函数中,攻击者可以在远程调用该函数的时候故意传入一个负整数参数,从而导致拒绝服务或者其他尚未明确的影响。

CVE-2016-4538漏洞存在于ext/bcmath/bcmath.c库中的bcpowmod函数中,该函数在对特定数据结构做修改的时候未对相应变量进行校验,可以导致攻击者使用精心构造的代码实施拒绝服务攻击或者其他尚未明确的影响。

但绿盟科技安全团队表示

因为漏洞为本地漏洞,不能远程利用,同时不是所有的PHP在编译的时候包含此模块,也不是所有的网站都会用到。

影响的版本

  • PHP版本 < 5.5.35
  • PHP版本 5.6.x < 5.6.21
  • PHP版本 7.x < 7.0.6

不受影响的版本

  • PHP版本 >= 5.5.35
  • PHP版本 5.6.x >= 5.6.21
  • PHP版本 7.x >= 7.0.6

PHP bcmath.c 漏洞发展情况

  1. 2016年4月24日,NULL-LIFE团队的Fernando向PHP官方提交了 PHP“bcmath.c”库中的本地堆溢出漏洞 。具体地址如下:
  2. 2016年4月25日, 官方进行了代码修复 
  3. 2016年8月18日,官方发布了修复漏洞后的最新版本。
  4. 2016年9月9日,绿盟科技安全团队发现www.securityfocus.com 网站对PHP“bcmath.c”多个本地堆溢出漏洞做了更新,其中涉及到的CVE编号分别为:CVE-2016-4537和CVE-2016-4538。

PHP bcmath.c 漏洞防护方案

  • 如果所使用的PHP为受影响的版本,请尽快升级到不受影响的PHP版本。 官方升级地址
  • 使用绿盟科技的远程评估系统(RSAS)对系统进行安全评估。
  • 短期服务:绿盟科技工程师现场处理。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
  • 中期服务:提供 3-6个月的风险监控与巡检服务。根除风险,确保事件不复发。
  • 长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)

PHP bcmath.c是什么

为PHP提供的任意精度数学二进制计算器,该计算器支持的任何大小和精度的数字计算,表示为字符串。

bc是Binary Calculator的缩写。bc*函数的参数都是操作数加上一个可选的 [int scale],比如string bcadd(string $left_operand, string $right_operand[, int $scale]),如果scale没有提供,就用bcscale的缺省值。这里大数直接用一个由0-9组成的string表示,计算结果返回的也是一个 string。

PHP bcmath.c漏洞分析

漏洞的成因是由于文件ext/bcmath/bcmath.c中的bcpowmod函数在接受参数时没有做准确的参数校验,当向参数scale传入一个负数时,有可能造成拒绝服务或者其他未明确的影响。

造成此漏洞的函数是bcpowmod,其声明如下:

bcpowmod.png

该函数的作用是求幂取模,例如下面代码,功能是对x求y次幂,然后求mod的模。

<?php 
$a = bcpowmod($x, $y, $mod); 
?>

第4个参数scale是一个可选参数,当前面参数有小数时,用于指定小数点之后要显示的位数。然而当scale传入的是负数时,可能造成堆溢出引发拒绝服务。

下面是该漏洞的POC:

<?php 
bcpowmod(1, "A", 128, -200);   // 造成堆溢出 
bcpowmod(1, 1.2, 1, 1);    // 后续再次调用此函数时,由于堆结构已被破坏,造成程序崩溃 
?>

程序崩溃时的调用堆栈如下:

AddressSanitizer: heap-buffer-overflow on address 0xb3805f68 at pc 0x083fd271 bp 0xbf91e4d8 sp 0xbf91e4c8 
READ of size 1 at 0xb3805f68 thread T0 
#0 0x83fd270 in bc_divide /home/fmunozs/phpgit/php56/ext/bcmath/libbcmath/src/div.c:122 
#1 0x83fff96 in bc_raisemod /home/fmunozs/phpgit/php56/ext/bcmath/libbcmath/src/raisemod.c:69 
#2 0x83f9923 in zif_bcpowmod /home/fmunozs/phpgit/php56/ext/bcmath/bcmath.c:426 
#3 0x9a7c718 in zend_do_fcall_common_helper_SPEC /home/fmunozs/phpgit/php56/Zend/zend_vm_execute.h:558 
#4 0x9640316 in execute_ex /home/fmunozs/phpgit/php56/Zend/zend_vm_execute.h:363 
#5 0x9a6c9c8 in zend_execute /home/fmunozs/phpgit/php56/Zend/zend_vm_execute.h:388 
#6 0x9470b59 in zend_execute_scripts /home/fmunozs/phpgit/php56/Zend/zend.c:1341 
#7 0x91acc6b in php_execute_script /home/fmunozs/phpgit/php56/main/main.c:2613 
#8 0x9a8648a in do_cli /home/fmunozs/phpgit/php56/sapi/cli/php_cli.c:994 
#9 0x808a502 in main /home/fmunozs/phpgit/php56/sapi/cli/php_cli.c:1378 
#10 0xb6dbe645 in __libc_start_main (/lib/i386-linux-gnu/libc.so.6+0x18645) 
#11 0x808aaba  (/home/fmunozs/phpgit/php56/sapi/cli/php+0x808aaba)

AddressSanitizer: heap-buffer-overflow /home/fmunozs/phpgit/php56/ext/bcmath/libbcmath/src/div.c:122 bc_divide 
Shadow bytes around the buggy address: 
0x36700b90: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700ba0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700bb0: fa fa fd fa fa fa 00 00 fa fa fd fa fa fa fd fa 
0x36700bc0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700bd0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
=> 0x36700be0: fa fa fd fa fa fa fd fa fa fa fd fa fa[fa]fd fa 
0x36700bf0: fa fa fd fa fa fa fd fa fa fa fd fa fa fa fd fa 
0x36700c00: fa fa 01 fa fa fa 01 fa fa fa 01 fa fa fa 00 06 
0x36700c10: fa fa 00 03 fa fa 00 05 fa fa 00 06 fa fa 00 07 
0x36700c20: fa fa 00 00 fa fa 00 07 fa fa 00 00 fa fa 00 05 
0x36700c30: fa fa 00 07 fa fa 00 07 fa fa 00 00 fa fa 00 00

PHP官方对此漏洞的修复如下,在ext/bcmath/bcmath.c文件中引入了一个新的校验函数split_bc_num,并在bcpowmod函数中通过split_bc_num加强了对scale参数的校验。

scalexxx.png

绿盟科技威胁预警认为该漏洞较难利用

中级:影响范围可控,危害程度可控,利用难度较高,7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。

绿盟科技威胁事件定级标准

级别

描述

影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。

影响范围可控,危害程度可控,利用难度较高,7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。

影响较小,危害程度较小。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。



原文发布时间:2017年3月24日

本文由:绿盟科技 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/php-ddos-vulnerability-cve-2016-4537-4538#

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
2月前
|
安全 网络安全 PHP
深入理解PHP的命名空间与自动加载机制网络安全与信息安全:防护之道与攻防之术
【5月更文挑战第29天】在PHP的开发实践中,命名空间和自动加载机制是两个重要的概念,它们共同构成了现代PHP代码组织的基础。本文将详细解释命名空间在PHP中的应用,探讨其解决代码冲突和提高代码复用性的能力,同时深入研究自动加载机制的原理及其在项目中的实际运用,帮助开发者构建更加高效、易于维护的PHP应用。
|
1月前
|
存储 安全 算法
智能合约中Gas限制和DoS攻击漏洞
智能合约中Gas限制和DoS攻击漏洞
43 7
|
2月前
|
安全 算法 网络安全
深入理解PHP的命名空间网络安全与信息安全:防护之道
【5月更文挑战第28天】 在现代PHP开发中,命名空间是一个不可或缺的概念。它不仅解决了代码库中的类名冲突问题,还为自动加载、依赖管理以及代码组织提供了强有力的支持。通过本文,我们将详细探讨PHP命名空间的工作原理、使用方法以及在实际项目中的应用,帮助开发者更好地掌握和运用这一技术。 【5月更文挑战第28天】随着信息技术的飞速发展,网络已经深度融入人类生活的方方面面。然而,网络安全问题也随之凸显,成为亟待解决的全球性难题。本文将深入探讨网络安全中的漏洞问题、加密技术以及安全意识等方面的内容,以期为读者提供一份全面的网络安全知识分享。
|
2月前
|
存储 监控 安全
PHP医院安全(不良)事件报告系统源码 vue2+element支持11大类不良事件上报、审核处理、分析改进
医院安全(不良)事件管理系统采用无责的、自愿的填报不良事件方式,有效地减轻医护人员的思想压力,实现以事件为主要对象,可以自动、及时、实际地反应医院的安全、不良、近失事件的情况,更好地掌握不良事件的发生趋势,为及时采取适当的管理措施和流程、制度改进提供了良好的量化依据。系统通过汇集不同类型事件的报告,从中分析出医院内部潜在的问题和风险,将发生的事故降到最低,从而保证病人安全和医护人员安全。
35 0
|
2月前
|
存储 监控 关系型数据库
PHP编写的电脑监控软件:用户登录日志记录与分析
使用PHP编写简单但功能强大的电脑监控软件,记录用户登录日志并进行分析。代码示例展示了如何获取并存储用户IP地址和登录时间到数据库,然后进行登录数据的分析,如计算登录频率和常见登录时间。此外,还介绍了如何通过定时任务自动将监控数据提交到网站,以便实时监控用户活动,提升系统安全性和稳定性。
120 0
|
2月前
|
SQL 监控 安全
【PHP开发专栏】PHP安全编程与防护
【4月更文挑战第29天】本文介绍了PHP安全编程的基础和常见漏洞防护,强调了输入验证、输出编码、错误处理、会话管理及文件上传的安全措施。同时,提到了SQL注入、XSS、CSRF等防护策略。建议遵循最小权限原则,定期进行代码审查,确保安全配置,并对开发人员进行安全培训。通过备份和恢复计划,以及实时监控,可提升PHP应用的安全性,抵御网络攻击,共创安全的网络环境。
|
2月前
|
数据采集 存储 JavaScript
PHP爬虫技术:利用simple_html_dom库分析汽车之家电动车参数
本文旨在介绍如何利用PHP中的simple_html_dom库结合爬虫代理IP技术来高效采集和分析汽车之家网站的电动车参数。通过实际示例和详细说明,读者将了解如何实现数据分析和爬虫技术的结合应用,从而更好地理解和应用相关技术。
PHP爬虫技术:利用simple_html_dom库分析汽车之家电动车参数
|
2月前
|
SQL 安全 PHP
PHP中的数据安全与防护措施探析
在当今信息时代,数据安全问题备受关注,尤其对于PHP开发者来说,保护用户数据至关重要。本文将从数据安全的重要性、常见威胁、以及防护措施等方面展开讨论,帮助PHP开发者加强数据安全意识,提升应对能力。
|
12月前
|
前端开发 JavaScript PHP
php开发实战分析(10):城市区县联动筛选
php开发实战分析(10):城市区县联动筛选
93 1
|
12月前
|
存储 监控 算法
php开发实战分析(9):使用实现短地址的分享的解决方案(第三方短链接服务、数据库自增ID转换、自定义短地址生成算法、自增数字短码)
php开发实战分析(9):使用实现短地址的分享的解决方案(第三方短链接服务、数据库自增ID转换、自定义短地址生成算法、自增数字短码)
212 0