К новому году опубликована уязвимость, позволяющая выполнить произвольный удаленный код на на любых php сайтах с формами обратной связи. Эксплуатируется вызов функции mail в популярных библиотеках PHPMailer, SwiftMailer.

Началось все с исправления уязвимости CVE-2016-10033 в PHPMailer 5.2.17: добавили экранирование переменной $sender функцией escapeshellarg() перед вызовом функции mail(). Однако, не учли что использование функции экранирования escapeshellarg() может конфликтовать с escapeshellcmd(), которая применяется для пятого параметра саймой функцией mail(). В результате мы получим неэкранированную последовательность, которая передается параметром к системному вызову mail, что ведет к возможности выполнения любой шелл команды.

Например:

Две уязвимости в джумле позволяют получить админский доступ и в свою очередь залить файл шелла через медиа менеджер.

1. В com_users:user.register не осуществляется должная валидация данных. Злоумышленник может зарегистрировать пользователя с правами админа. Важно чтобы на сайте была включена регистрация, иначе в joomla 3.6.3 (и возможно более ранних) созданный пользователь не сможет быть активирован.

2. Проблема с вайтлистом в медиа менеджере

Медиаменеджер в джумле имеет белый список загружаемых файлов (и их типов). По-умолчанию он не позволяет загружать файлы с расширением ".php, .phtml" или содержащие "<?php". Однако позволят загрузить файлы содержащие <?= с расширением .pht. Файлы .pht по-умолчанию включены на всех apache серверах с mod_php в ubuntu => могут быть загружены и запущены!



Код эксплойта в продолжении

Nullable types (типы допускающие возможность использования null)

Ранее в PHP 7.0 появилась возможность указать тип передаваемых/возвращаемых значений, однако строгая типизация недопускала использование null в качестве значения параметра, как это делается в других языках.

В 7.1 для указания допустимости null-значений перед типом параметра указывается "?"

Пользую Firefox с первых версий. Браузер запускается с портативного usb диска.
С недавних пор появилась проблема - при синхронизации закладок фф стал отъедать 25%CPU (т.е. одно ядро моего i2500). При этом усиленными темпами пытался записать что-то на диск (30Мб/c). Процедура продолжалась порядка 15 минут, далее - ошибка синхронизации. Все повторялось с интервалом в 10 минут. На это время можно забыть про FF - его UI становился не юзабельным (тупо лагал).

20151201 Core / Remote Code Execution Vulnerability

Позволяет злоумышленнику выполнить произвольный код. За последний месяц в джумле нашли две критические уязвимости. Последняя распространяется на все версии системы начиная с 1.5.0 и до 3.4.5. Кто-то мог эксплуатировать эту дыру около 8 лет, 8 лет Карл!.

Атакован ли ваш сайт?

Можно определить, посмотрев логи:




TL;DR
Уязвимость заключается в отсутствии должной фильтрации данных пользователя (заголовки user-agent и x-forwarded-for). Данные сохраняются в базу данных в сериализованном виде обработчиком сессий. Из-за бага обработки UTF8 строк Mysql, при сохранении данные обрезаются, позволяя внедрить произвольный объект (выполнить код) в массив $_SESSION при чтении данных сессии из бд.

Тестирование "Привет мира" на базе популярных PHP фреймворков.

Конфигурация системы CentOS 6.6 64bit (VM; VirtualBox)
PHP 5.5.30 (Remi RPM) Zend OPcache v7.0.4-dev с включенными phalcon.so и ice.so
Apache 2.2

Запускаются скрипты с настройками по умолчанию, без тюнинга.

Релиз PHP 7.0.0 состоялся 3.12.2015.

Основные моменты, из-за которых старый код не будет работать:

1. Унифицированный синтаксис

Выражение $foo->$bar['baz']() раньше означало $foo->{$bar['baz']}(), сейчас интерпретируется слева-направо: ($foo->$bar)['baz']()

2. Удаление устаревших расширений

mysql, ereg...

Функции CSPRNG

Криптографически стойкий генератор псевдослучайных чисел (англ. Cryptographically secure pseudorandom number generator, CSPRNG)

Новведение добавляет две новых функции для генерации криптографически стойких целых чисел и строк.
Функции работают одинаково на всех платформах.



Обе функции сгенерируют исключение `Error`, если источник необходимой случайности будет не найден.

В PHP5 присутствует неоднозначность в работе foreach, которая возникает из-за манипуляции с внутренним указателем массива или модификации элементов массива, который перебирается в foreach.

Поведение foreach может зависить от ссылочного счетчика или типа итерируемого объекта - является он значением или ссылкой.

Вот несколько примеров foreach

1. Неработающий current()
2. unset() может исключить элемент из перебора, а может и нет

Релиз PHP 7 запланирован на конец ноября 2015 года.
В новой версии PHP появились интересные синтаксические плюшки, новые функции
а также самые долгожданные изменения коснулись ядра интерпретатора - проект phpng, увеличивает скорость
обработки скриптов практически вдвое по сравнению с PHP 5.x, плюс более эффективный менеджер памяти.