Все новости от 5 марта 2002 г. В дыре PHP могут расплодиться черви
Создание эксплойта для обнаруженных недавно ошибок в языке сценариев PHP — лишь дело времени, предупреждают эксперты. Учитывая, что уязвимы миллионы веб-сайтов, он может стать новым Code Red.
Лазейки находятся в модулях ПО веб-серверов, использующих язык сценариев Personal Homepage (PHP). Он позволяет создавать динамические веб-страницы и широко распространен среди сайтов, построенных на базе ПО с открытым исходным кодом.
Дэвид Диттрих (David Dittrich), старший инженер по информационной безопасности Вашингтонского университета, уверяет, что, хотя технически воспользоваться этими лазейками нелегко, в интернете полно хакерских групп, способных на это.
«Появление червя всего лишь дело времени», — заявил Диттрих, добавив, что системным администраторам, веб-сайты которых работают на уязвимых версиях PHP, следует как можно быстрее обновить ПО.
На прошлой неделе член PHP Group опубликовал детали нескольких ошибок, которые позволяют атаковать веб-серверы с версиями PHP с 3.0.10 по 4.1.1. Получив контроль над сервером, атакующие могут вывести из строя любые работающие на нем сайты или исполнять на сервере системные команды.
На следующий день британская группа Netcraft опубликовала свой ежемесячный статистический отчет по веб-сайтам, отметив, что почти 8,4 млн сайтов базируется на серверах с уязвимыми версиями PHP, причем миллион из этих сайтов беззащитен перед атаками.
Судя по этим данным, ошибки PHP не менее опасны, чем ошибка фильтра ISAPI сервера индексации Microsoft Internet Information Server, которая позволила распространиться червю Code Red, считает главный специалист по защите сетей компании eEye Digital Security Марк Мэйфрет (Marc Maiffret).
По данным Netcraft, в июне 2000 года, когда Microsoft сообщила об ошибке IIS, в интернете насчитывалось 6 млн уязвимых сайтов. Однако между сайтами и серверами нет взаимно-однозначного соответствия. eEye обнаружила ошибку и сообщила о ней Microsoft в апреле.
По данным организации Cooperative Association for Internet Data Analysis, на 19 июля 2000 года модифицированной версией Code Red было заражено почти 360 тыс. серверов. Тогда червь почти насытил интернет, заразив практически каждый доступный из уязвимых серверов.
По словам Мэйфрета, есть свидетельства того, что червь PHP уже готовится в интернет-подполье.
В кругах специалистов и хакеров циркулировал так называемый эксплойт — инструмент, позволяющий атаковать уязвимые системы. Обычно такой код содержит функцию для генерации случайных интернет-адресов или автоматический сканер для выбора следующей жертвы.
Однако в реальном эксплойте ее не было, на основании чего эксперты сделали вывод, что это часть незавершенной программы.
«Теперь мы ждем, чем это кончится», — сказал Мэйфрет.
Перед онлайновыми вандалами стоит непростая задача. Если ошибку сервера индексации ISAPI можно было использовать посредством несложной программы, то для создания червя PHP придется потрудиться значительно больше, считает менеджер проекта PHP Расмус Лердорф (Rasmus Lerdorf).
Так как в разных версиях ПО природа ошибок различна, червь должен уметь определять конфигурацию каждого хоста и применять соответствующий метод атаки.
К тому же веб-серверы обычно работают с ограниченными привилегиями доступа. На правильно защищенных серверах из-за упомянутых различий захватить управление зараженным компьютером будет гораздо сложнее.
Это может оказаться на руку администраторам веб-сайтов, использующих PHP, считает Стивен Эссер (Stefan Esser), другой член PHP Group и автор рекомендаций по борьбе с ошибками в языках сценариев.
«PHP — это проект с открытым исходным кодом, а если судить по моему опыту, пользователи open-source продуктов часто лучше осведомлены о проблемах безопасности, чем пользователи продуктов Microsoft, — заявил он. — Я уверен, что пользователи open-source быстрее обновят свое ПО. Наиболее важные сайты уже сделали это».
И все же, чтобы предотвратить потенциальную угрозу для интернета, необходимо проапгрейдить не только крупные сайты.
Предыдущие публикации:
В продолжение темы:
|
|
| Qrot 5 Mar 2002 7:55 PM |
ну что, любители открытого кода - получается, что OpenSource не страхует от ошибок, как это преподносится... да никто и не верил, собственно :) |
|
| RoN - rodionlenta.ru 5 Mar 2002 10:03 PM |
А мне так охота, чтобы усе ПХП-шные сайты в шоколадный глаз пропёрли. Личные мотивы у меня есть на это :-))) |
|
| Женя Дюгаев - eadllrietumu.lv 5 Mar 2002 10:15 PM |
QRot: Конечно, не страхует. Более того, никто и не преподносил как ты пишешь..(разве что журналисты.. да кто их слушает?!) Так уж получилось, что с МС продуктами лажи чаще происходят (конечно-же из-за распространённости - что греха таить). Однако любители "оупен сорса" быстрее залатают дыры, чем "иис"-шные админы - ментальность, сударь, другая. Последние-же ждут команды от МС.. Человеческий фактор, как всегда, во главе, :) стадность, так сказать, я думаю, что долго там ещё останется.. - Ж.. |
|
| Женя Дюгаев - eadllrietumu.lv 5 Mar 2002 10:16 PM |
Ron: Я не знаю что такое шоколадный глаз. плиз почтой или здесь |
|
| 00alex - 00alexmail.ru 5 Mar 2002 11:12 PM |
http://security.e-matters.de/advisories/012002.html > Finally I want to mention that the boundary check > vulnerabilities are only exploitable on linux or solaris. > The heap off by one is only exploitable on linux(maybe solaris) > x86 and the arbitrary heap overflow in PHP3 is exploitable on > most OS and architectures. (This includes *BSD, Windows, > Linux, Solaris) э... ну дык почти у всех PHP4+FreeBSD стоит, нет? ;-) Удачи!
|
|
| Qrot 6 Mar 2002 12:27 AM |
2Дюгаев: сходи ка на fsf.org, да почитай что они тама пишут. что же до стадного чувства - ну никак нельзя исправить ошибку без патча от производителя. в данном случае теоретически можно, но мне интересно, много людей ковыряло сорсы и правило эти баги? так что не нужно мне тут про ментальность сказки говорить, не верю я в них |
|
| glassy 6 Mar 2002 1:14 AM |
200alex: а ведь действительно, по идее такб а в статье какая-то левая статистика |
|
| glassy 6 Mar 2002 1:17 AM |
2Qrot: насколько я помню, ты даже не веришь, что vim является нехилой средой разработки. Многооконной, с хорошим поиском, с прыжками по ошибкам апосля компиляции... |
|
| Nicolay 6 Mar 2002 9:25 AM |
Так уже заплатку-то выложили на php.net. |
|
| Qrot 6 Mar 2002 9:59 AM |
2glassy: плохо помнишь. я в нем сижу практически постоянно. только то что ты назвал "многооконностью" - туфта. где обещанный тобой MDI? |
|
| glassy 8 Mar 2002 1:19 AM |
2Qrot: в доках почитай windows.txt и buffers.txt
|
|
| Qrot 8 Mar 2002 2:34 AM |
мля, прозрачный... ну нет там многодокументного интерфейса!!! хоть т ытресни, нет его там! с буферами и сплиттерами я более менее разбираюсь, неудоно это :( |
|
| glassy 9 Mar 2002 2:46 AM |
2Qrot: i don't give a fuck (R) Неб я не понимаюб какая разница? В вижаке на одном десктопе это типа удобно? Мышью, небосьБ пользуештсяБ программист? :))) |
|
| Qrot 9 Mar 2002 1:43 PM |
2glassy: "Б" это типа артикуль такой? в вижаке удобно - потому что сделано грамотно, в vi так не будет никогда. |
|
| Skull - sibskullmail.ru 11 Mar 2002 5:19 AM |
2Qrot: вижак по сравнению с emacs - жалкие потуги сделать нормальный редактор :) |
|
| Qrot 11 Mar 2002 9:53 AM |
ба, а ты никак emacs осилил? |
|
| Skull - sibskullmail.ru 12 Mar 2002 4:49 AM |
2Qrot: ну не супер-спец, но он мне нравится... |
|
|