FYI: mod_php considered harmful

Bash, Shell, PHP, Python, Perl, CGI
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53

FYI: mod_php considered harmful

Post by Roger Wilco »

Die letzten Tage ist mal wieder ein schon etwas älterer Bug von PHP ans Tageslicht gespült worden. Beim Einsatz als Apache-Modul werden vor dem Aufruf des PHP-Interpreters wohl nicht alle Dateideskriptoren aufgeräumt, die der Apache httpd geöffnet hat. Dadurch kann über ein normales PHP-Skript sowie ein unterstützendes Binary der Apache-Prozess ersetzt bzw. verdrängt werden.

Das bösartige Skript kann dadurch an Stelle des Apache httpd Daten an Besucher ausliefern und so bspw. Malware verbreiten, Passwörter abgreifen usw.

Man erhält dadurch zwar keine Rootrechte, aber die Möglichkeit den Webserver abzuschießen und durch einen eigenen Prozess zu ersetzen ist schlimm genug. Betroffen sind scheinbar alle Versionen von PHP.

Um das Problem zu umgehen, bieten sich neben dem offensichtlichen PHP deinstallieren oder Apache httpd durch eine Alternative ersetzen, folgende Möglichkeiten an:

1) PHP über die CGI-Schnittstelle, SuPHP oder FastCGI mit SuExec einbinden.
2) Funktionen wie system, passthru usw. mit disable_functions verbieten.

Verweise:
http://bugs.php.net/bug.php?id=20302
http://bugs.php.net/bug.php?id=38915
http://hackerdom.ru/~dimmo/phpexpl.c
http://marc.info/?l=bugtraq&m=107247844327956&w=2
http://wohnzimmerhostblogger.de/archive ... ehmen.html