Блог ОС CloudLinux - Что находится внутри HardenedPHP и почему это важно для безопасности сервера
Блог CloudLinux OS

Что внутри HardenedPHP и почему это важно для безопасности сервера

Что внутри HardenedPHP и почему это важно для безопасности сервера

Прошло уже больше года с тех пор, как мы начали HardenedPHP проект. Идея возникла из обсуждений с несколькими хостентами, которые выразили беспокойство по поводу устаревших версий PHP. Хотя их серверы были защищены CageFS, они по-прежнему беспокоились о том, что хакеры могут иметь полевой день со всеми сайтами с PHP 4.4 или 5.1.

Несмотря на то, что это может не повлиять на других клиентов, хакеры будут использовать взломанные учетные записи для отправки спама, атаки других серверов или заражения сайтов вредоносным ПО, что вызовет дополнительную нагрузку для команды поддержки.

Мы решили помочь. Мы потратили девять месяцев на все известные уязвимости и обратили их в обратную сторону от старых версий PHP. Каждый backport поставляется с собственным тестом. После этого все эти версии PHP подвергались строгому тестированию - в том числе, чтобы убедиться, что он не нарушает функциональность основных программных пакетов, таких как WordPress и Joomla. Следующим шагом было позволить ему работать на нескольких производственных системах наших клиентов. В целом, мы обработали больше, чем 100 CVE, и нам потребовалось больше года для реализации проекта.

Вот некоторые из важнейших проблем безопасности, которые были исправлены (обратите внимание, что оценка CSSv2 варьируется от 0 до 10, причем 10 является самым высоким):

CVE-ID Время Показатель CVSSv2 Вывод
CVE-2015-0235 2015-01-28 10 Переполнение буфера на основе кучи в функции __nss_hostname_digits_dots в glibc 2.2 и других версиях 2.x до 2.18 позволяет злоумышленникам, зависящим от контекста, выполнять произвольный код через векторы, связанные с функцией gethostbyname (1) или (2) gethostbyname2, иначе «GHOST» «.
CVE-2009-3546 2009-10-19 9.3 Функция _gdGetColors в gd_gd.c в PHP 5.2.11 и 5.3.x перед 5.3.1 и графическая библиотека GD 2.x не корректно проверяет определенный член структуры ColorTotal, который может позволить удаленным злоумышленникам выполнять переполнение буфера или перечитывать буфер атаки через обработанный GD-файл, другая уязвимость, чем CVE-2009-3293. ПРИМЕЧАНИЕ. Некоторые из этих деталей получены из информации сторонних производителей.
CVE-2008-3658 2008-08-14 7.5 Переполнение буфера в функции imageloadfont в ext / gd / gd.c в PHP 4.4.x до 4.4.9 и PHP 5.2 до 5.2.6-r6 позволяет зависящим от контекста атакам вызвать отказ в обслуживании (сбой) и, возможно, выполнить произвольный код с помощью созданного файл шрифта.
CVE-2008-5624 2008-12-17 7.5 PHP 5 до того, как 5.2.7 неправильно инициализирует глобальные переменные page_uid и page_gid для использования функцией SAPI php_getuid, которая позволяет зависящим от контекста атакам обходить ограничения safe_mode с помощью параметров переменных, которые должны быть ограничены root, о чем свидетельствует установка / etc для переменной error_log.
CVE-2008-5625 2008-12-17 7.5 PHP 5 до того, как 5.2.7 не применяет ограничения error_log safe_mode, когда safe_mode активирован с помощью параметра php_admin_flag в httpd.conf, что позволяет зависящим от контекста атакующим писать произвольные файлы, помещая запись «php_value error_log» в файл .htaccess.
CVE-2008-5658 2008-12-17 7.5 Уязвимость в обход каталога в функции ZipArchive :: extractTo в PHP 5.2.6 и ранее позволяет злоумышленникам, зависящим от контекста, писать произвольные файлы через ZIP-файл с файлом, имя которого содержит последовательности (dot dot).
CVE-2008-5844 2009-01-05 7.5 PHP 5.2.7 содержит неправильное изменение функциональности FILTER_UNSAFE_RAW и непреднамеренно отключает magic_quotes_gpc независимо от фактического параметра magic_quotes_gpc, что может облегчить для злоумышленников, зависящих от контекста, атаку SQL-инъекций и неуказанные другие атаки.

У 39 больше уязвимостей с оценкой CVSSv2 7.5, которую мы исправили, и больше, чем уязвимости 100. Полный список уязвимостей можно скачать здесь.

Исправляя все известные уязвимости в старых версиях PHP и продолжая их исправлять по мере обнаружения новых уязвимостей, мы ожидаем, что хакерам значительно удастся использовать сайты PHP, а также уменьшить необходимость того, чтобы владельцы общих сайтов переписывали свое программное обеспечение для работы с последние версии PHP.

8 сказочные улучшения функции в работах для C ...
Обновлен Alt-Ruby

Комментарии

Нет комментариев на форуме. Будьте первым, чтобы оставить свой комментарий
Уже зарегистрирован? ВОЙТИ
гость
Суббота, 19 октября 2019

Защитный код изображение