レガシーPHPのセキュリティ対策,大丈夫ですか?

第4回 未修正の脆弱性(2)

この記事を読むのに必要な時間:およそ 2.5 分

前回に引き続き,未修正の脆弱性とパッチを適用しない場合の対処を順次紹介します。繰り返しになりますが,脆弱性の危険度の順ではなくパッチファイル名の順番に紹介します。紹介する脆弱性情報はSRA OSS Inc日本支社にてPHP4セキュリティ保守サービスとして提供しているものです。パッチ類は筆者の会社であるエレクトロニック・サービス・イニシアチブが,現状サポートされているPHPからレガシーPHPにバックポートしています。パッチの説明文を引用して脆弱性を解説します。パッチそのものの紹介は含みませんのでご了承ください。

PHP 4.3.9の評価は,PHPプロジェクトが配布しているソースコードではなくRedHat Enterprise Linux 4で提供されているPHPのSRPM(ソースRPM)のソースコードがベースになっています。PHP 5.1.6についてはPHPプロジェクトが配布しているソースコードがベースとなっています。このため,RedHat Enterprise Linux 5で修正されている問題も含まれていることがあります。

CVE/NVDについては第2回目のCVEの読み方で紹介しました。CVE/NVDの解説が必要な方はそちらをご覧ください。

CGIのDoS

適用
オプション
対象
CGI
バージョン:5.1.6/4.4.9/4.3.11/4.3.9
CVE情報
CVE-2008-3660
CVSS Severity (version 2.0):
CVSS v2 Base Score:5.0 (MEDIUM) (AV:N/AC:L/Au:N/C:N/I:N/A:P) (legend)
Impact Subscore: 2.9
Exploitability Subscore: 10.0
CVSS Version 2 Metrics:
Access Vector: Network exploitable
Access Complexity: Low
Authentication: Not required to exploit
Impact Type:Allows disruption of serviceUnknown
種別
セキュリティ
解説
不正なパスを設定することによりcgiバイナリがクラッシュします。
互換性
互換性問題はありまん。
攻撃が成功した場合影響
サービスが妨害されます。

現在のPHPのCGIバイナリはFCGIとしても利用できます。以前はApache Webサーバーばかりだったと思いますが,nginxなどでFCGIを利用する方やWindows+IISでFCGIを利用する方も増えているでしょう。この脆弱性は不正なパスを指定することにより簡単にCGIバイナリをクラッシュしてしまう脆弱性です。

回避策

パッチを適用せずにクラッシュを回避するには,簡易なものでもよいのでWAFを導入します。簡易なWAFとはApacheのmod_rewriteを利用したプロキシをWAFとするなどの方法があります。

リスク

サービス不能攻撃(DoS)を行われる可能性が高くなります。

x86 FPUクラッシュ

適用
必須
対象
PHPコア
バージョン:5.1.6/4.4.9/4.3.11/4.3.9
CVE情報
CVSS Severity (version 2.0):
CVSS v2 Base Score:5.0 (MEDIUM) (AV:N/AC:L/Au:N/C:N/I:N/A:P) (legend)
Impact Subscore: 2.9
Exploitability Subscore: 10.0
CVSS Version 2 Metrics:
Access Vector: Network exploitable
Access Complexity: Low
Authentication: Not required to exploit
Impact Type:Allows disruption of serviceUnknown
種別
セキュリティ
解説
x87アーキテクチャの場合に限りPFU(浮動小数点演算プロセッサ)に不正なデータを送信するとシステムがクラッシュします。
互換性
特になし

Intelのx86系CPUを利用している場合にのみ影響する問題です。特定の浮動小数点の値を送信するとPHPがクラッシュします。

回避策

入力値をバリデーションしてクラッシュを防ぐことが考えられます。

リスク

攻撃可能な場合,非常に簡単にPHPをクラッシュされることができ,サービス不能攻撃(DoS)のリスクが高くなります。

著者プロフィール

大垣靖男(おおがきやすお)

University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモジュールのメンテナンスを担当している。

URLhttp://blog.ohgaki.net/

著書

コメント

コメントの記入