Vulnérabilité dans php-fpm

Date de publication :

Une vulnérabilité de type écriture hors-limites a été découverte dans certaines configurations du module FPM de PHP. Ce dernier constitue une alternative au moteur de traitement PHP fourni par défaut. En cas d’exploitation réussie, cette faille mène à une corruption de la mémoire du programme et à l’exécution potentielle de code arbitraire. La vulnérabilité n’est exploitable qu’en cas d’utilisation de PHP avec le serveur web NGINX dans une configuration précise.

CVE-2019-11043 [Score CVSS v3 : 8.1] : Un problème d’écriture hors-limites a été découvert dans php-fpm. Le code concerné n’est utilisé qu’en cas d’utilisation conjointe de PHP avec le serveur NGINX, et uniquement en cas de configurations spécifiques. Dans cette situation, un attaquant distant peut provoquer une corruption de la mémoire du programme, ainsi que potentiellement exécuter du code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Corruption de la mémoire du programme PHP
  • Exécution arbitraire de code, risque aggravé par le fait que la machine concernée est typiquement connectée à un réseau, comme précisé dans le rapport édité par l’équipe de sécurité des produits “Red Hat”

Criticité

  • Score CVSS v3: 8.1 (Red Hat)
  • Score CVSS v3: 9.8 (NIST)

Existence d’un code d’exploitation

  • Une preuve de concept écrite en Python est trouvable sur GitHub, avec les détails de la configuration vulnérable

Composants vulnérables

  • PHP v7.1.x (jusqu’à v7.1.33) ; PHP v7.2.x (jusqu’à 7.2.24) ; PHP v7.3.x (jusqu’à 7.3.11)
  • Red Hat Enterprise Linux Server
  • Red Hat Enterprise Linux Server (for IBM Power LE)

CVE

  • CVE-2019-11043

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour PHP dans l’une des versions non-vulnérables, selon la version mineure utilisée: 7.1.33, 7.2.24 ou 7.3.11

Solution de contournement

Une modification de la configuration de NGINX concernant php-fpm est suggérée. La procédure est exposée sur le rapport fourni par Red Hat, section “Mitigation”

Liens