Ubuntu corrige plusieurs vulnérabilités PHP sur son système

Les équipes de sécurité d'Ubuntu ont publié un bulletin de sécurité dans lequel sont corrigées 7 vulnérabilités concernant PHP. Ces vulnérabilités peuvent permettre à un attaquant de porter atteinte à la confidentialité et l’intégrité des données ainsi qu’une exécution de code arbitraire. Les attaques sont peu complexes à mettre en œuvre et ne nécessitent pas de privilège particulier ou d'interaction avec un utilisateur.

PHP (pour Hypertext Preprocessor), est un langage de programmation libre, principalement utilisé pour produire des pages Web dynamiques via un serveur HTTP, mais pouvant également fonctionner comme n'importe quel langage interprété de façon locale.
PHP a ainsi permis de créer un grand nombre de sites web célèbres, comme Facebook, Wikipédia, etc. Il est considéré comme une des bases de la création de sites web dits dynamiques mais également des applications web.

Détails techniques

Les 5 vulnérabilités ont été référencées de la manière suivante :

• CVE-2019-9638 [CVSS V3 7.5] CVE-2019-9639  [CVSS V3 7.5] :  Deux vulnérabilités affectant le composant EXIF de PHP, permettant de lire les métadonnées liées aux images. La méthode affectée par cette vulnérabilité est exif_process_IFD_in_MAKERNOTE effectuant une mauvaise initialisation des variables de tailles des données. Ces failles peuvent amener à lire des données non autorisées.
• CVE-2019-9640 [CVSS V3 7.5] : Une vulnérabilité affectant le composant EXIF de PHP permettant une lecture non autorisée de données au travers de la méthode exif_process_SOFn.
• CVE-2019-9641 [CVSS V3 9.8] : Une vulnérabilité affectant le composant EXIF de PHP permettant une lecture non autorisée de données au travers de la méthode exif_process_IFD_in_TIFF.
• CVE-2019-9637 [CVSS V3 7.5] : Une vulnérabilité, liée à la mauvaise gestion des noms de fichiers, PHP utilise la fonction rename() du module libc des systèmes Unix. Ce renommage peut engendrer la modification des droits d’accès aux fichiers et pourrait permettre à des utilisateurs non autorisés d’accéder aux données.

La vulnérabilité suivante permet une exécution de code arbitraire :

• CVE-2019-9675 [CVSS V3 8.1] : Une vulnérabilité de type dépassement de tampon en utilisant comme valeur un lien symbolique, un alias pointant vers un fichier ou un répertoire spécifique, de taille incorrecte. La structure PHP the_tar_header n’accepte en argument que les liens de taille inférieure à 100. Un attaquant pourrait alors effectuer une exécution de code arbitraire. Il est toutefois reporté que cette attaque n’est possible qu’en théorie et quasiment impossible en pratique. En effet, la valeur de lien incorrecte n'est ici possible que lorsque le lien symbolique serait contenue dans une archive, une fonctionnalité non présente.

La vulnérabilité suivante porte atteinte à la confidentialité des données :

• CVE-2019-9022 [CVSS V3 7.5] : Un serveur DNS malicieux pourrait répondre à une requête en envoyant un paramètre avec une taille incorrecte. En effet l’analyseur DNS ne prend pas en compte lorsque dlen=0 pouvant conduire à une taille négative. La vulnérabilité réside dans la fonction dns_get_record() lorsque la requête DNS est de type DNS_CAA ou DNS_ANY.

Afin de se protéger contre ces vulnérabilités, il est recommandé de faire une mise à jour standard du système Ubuntu (ou, tout du moins, sur les paquets impactés) qui apportera toutes les modifications nécessaires sur les paquets PHP.