La última
actualización publicada de PHP revela múltiples fallos que han sido parcheados,
tanto en el core como en diferentes librerías del lenguaje. La vulnerabilidad
más severa permitiría ejecutar código remoto en el servidor de la víctima.
PHP es un lenguaje
diseñado originalmente para ser utilizado en aplicaciones basadas en Web junto
con HTML. En la actualidad aproximadamente el 78% de los portales web están
escritos en PHP, según las estadísticas de w3techs.
Los sistemas
afectados a estas vulnerabilidades son los siguientes:
–
Versiones
PHP 7.1 y anteriores a 7.1.32.
–
Versiones
PHP 7.2 y anteriores a 7.2.22.
–
Versiones
PHP 7.3 y anteriores a 7.3.9.
Detalles técnicos de
los errores según la actualización publicada por php.net:
BUG RAMAS AFECTADAS
#78363 Buffer
overflow in zendparse 7.3 y 7.2
#78379 Cast to object
confuses GC, causes crash 7.3 y 7.2
#78412 Generator
incorrectly reports non-releasable $this as GC child 7.3
#77946 Bad cURL
resources returned by curl_multi_info_read() 7.3 y 7.2
#78333 Exif crash
(bus error) 7.3
y 7.2
#77185 Use-after-free
in FPM master event handling 7.3
#78342 Bus error in
configure test for iconv //IGNORE 7.3 y 7.2
#78380 Oniguruma
6.9.3 fixes CVEs 7.3
#78179 MariaDB server
version incorrectly detected 7.3 y 7.2
#78213 Empty row
pocket 7.3
#77191 Assertion
failure in dce_live_ranges() 7.3
y 7.2
#69100 Bus error from
stream_copy_to_stream (file -> SSL stream) 7.3
y 7.2
#78282 atime and
mtime mismatch 7.3 y 7.2
#78326 improper
memory deallocation on stream_get_contents() 7.3 y 7.2
#78346 strip_tags no
longer handling nested php tags 7.3
#75457 heap
use-after-free in pcrelib 7.1
Entre los bugs
parcheados se encuentra Oniguruma, una popular librería de expresiones
regulares que se utiliza internamente en PHP (y en muchos otros lenguajes), que
ha sido actualizada a la versión 6.9.3, debido a una vulnerabilidad de
ejecución de código ‘user-after-free‘ asignada con el CVE CVE-2019-13224.
Este fallo podría
permitir la ejecución de código en la aplicación afectada. En caso de fallar al
ejecutar el exploit podría resultar en una denegación de servicio (DoS).
Como se puede
observar, los fallos afectan a librerías y funciones ampliamente utilizadas
como la función Exif, la extensión Curl, Opcache o FastCGI Proccess Manager
(FPM) entre otros.
Por el momento no hay
constancia de que estos fallos estén siendo aprovechados y explotados en
aplicaciones o sistemas en producción en la red. Sin embargo es altamente
recomendable que tanto usuarios como proveedores de hostings actualicen sus
servidores a las últimas versiones publicadas 7.3.9, 7.2.22, o 7.1.32.
Más información:
- php.net https://www.php.net/ChangeLog-7.php
- Cisecurity https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2019-087/
- The Hacker News https://thehackernews.com/2019/09/php-programming-language.html
Fuente: Hispasec