Corrections Critiques de Vulnérabilités PHP

Bulletin de Sécurité PHP du 06 Juin 2024 : Corrections Critiques de Vulnérabilités.

Le 06 juin 2024, l’équipe PHP a publié un bulletin de sécurité important, corrigeant plusieurs vulnérabilités critiques découvertes dans leur produit.

Ces vulnérabilités permettent à des attaquants d’exécuter du code arbitraire à distance, de compromettre la confidentialité des données et d’en affecter l’intégrité. Voici un résumé des principales corrections apportées.

Vulnérabilités Corrigées

  • Limite de Tampon sous Windows : Une correction a été apportée pour la limite de tampon sous Windows, en remplaçant l’utilisation des appels de lecture par _read, ce qui améliore la sécurité et la stabilité de PHP sur ce système d’exploitation.
  • Injection d’Arguments dans PHP-CGI (CVE-2024-4577) : Une vulnérabilité grave, identifiée sous le code CVE-2024-4577, a été corrigée. Cette faille permettait une injection d’arguments dans PHP-CGI, contournant ainsi la correction précédente du CVE-2012-1823. Cette vulnérabilité permettait à un attaquant de provoquer une exécution de code arbitraire à distance (RCE).
  • Le 07 juin 2024, GitHub a publié une analyse technique détaillée de cette vulnérabilité accompagnée d’une preuve de concept (PoC) développée par @watchTowr, démontrant comment exploiter cette faille pour obtenir une RCE sur une version vulnérable de PHP sous Windows. L’équipe DEVCORE a classé cette vulnérabilité comme critique et a rapidement alerté l’équipe PHP officielle, qui a publié un correctif le 06 juin 2024. Cette faille affecte toutes les versions de PHP sur Windows antérieures aux versions 8.3.8, 8.2.20 et 8.1.29.

Bugs Corrigés

  • GH-14189 : Le shell interactif PHP ne gérait pas correctement les littéraux héréditaires cités.
  • GH-13970 : Validation incorrecte des types d’indicateurs #[Attribute] pour les expressions non compilées.
  • GH-14124 : Erreur de segmentation avec l’extension XML sous certaines limites de mémoire.
  • GH-14183 : XMLReader::open() ne pouvait pas être remplacé.
  • Vulnérabilité OpenSSL : La fonction openssl_private_decrypt en PHP était vulnérable à l’attaque Marvin, sauf si elle était utilisée avec une version d’OpenSSL incluant les modifications de la demande d’extraction visant à rendre l’API de décryptage RSA sûre avec le remplissage PKCS#1 v1.5. Ces modifications font partie d’OpenSSL 3.2 et ont été rétroportées vers les versions stables de diverses distributions Linux, ainsi que vers les versions PHP pour Windows depuis la version précédente.

Autres Corrections

GHSA-3qgc-jrrr-25jv : Contournement de CVE-2012-1823, injection d’arguments dans PHP-CGI.
GHSA-9fcc-425m-g385 : Contournement de CVE-2024-1874.

Recommandations

Il est fortement recommandé à tous les utilisateurs de mettre à jour PHP vers les dernières versions :

PHP 8.3.8
PHP 8.2.20
PHP 8.1.29
Pour les systèmes où une mise à jour immédiate n’est pas possible, des instructions temporaires d’atténuation sont disponibles. Tous les distributeurs et constructeurs doivent s’assurer que ces versions sont utilisées pour éviter toute vulnérabilité.

Conclusion

Ce bulletin de sécurité souligne l’importance de maintenir les environnements PHP à jour pour éviter les risques associés à ces vulnérabilités critiques. Les utilisateurs et administrateurs sont invités à consulter le calendrier de divulgation pour les détails complets et à appliquer les correctifs recommandés sans délai.

A propos de l'auteur

Retour en haut