Découverte d'une vulnérabilité critique pour PHP

Trois chercheurs indépendants en sécurité informatique ont découvert une vulnérabilité importante, voire critique, pour PHP 7.1, PHP 7.2 et PHP 7.3. Cette vulnérabilité pourrait permettre à un attaquant à distance d’effectuer un déni de service, voire d’exécuter arbitrairement du code à distance, à partir d’un simple accès à une URL mal formée.

La vulnérabilité provient d’un dysfonctionnement présent depuis PHP 5 mais exploitable uniquement depuis PHP 7+. Des codes d’exploitation sont accessibles publiquement sur internet. Un correctif de sécurité a été apporté par les équipes PHP pour PHP 7.1, PHP 7.2 et PHP 7.3.

 

Détails techniques :

  • CVE-2019-11043 [CVSSv3 9.8] : dysfonctionnement permettant à un attaquant d’effectuer un déni de service à partir d’une requête HTTP malveillante, voire une exécution de code à distance. Cette vulnérabilité est présente dans le module « php-fpm » et n’est exploitable que sous certaines conditions de configuration. Les détails sont présents dans les sources situées en fin d’article.
Informations
+

Risques

  • Déni de service
  • Exécution arbitraire de code à distance

Criticité

  • Score CVSS : 9.8.

Existence d’un code d’exploitation de la vulnérabilité

  • Des codes d’exploitation sont disponibles publiquement sur internet.

Composants & versions vulnérables

  • PHP 7.3.x antérieures à 7.3.11
  • PHP 7.2.x antérieures à 7.2.24
  • PHP 7.1.x antérieures à 7.1.33

CVE

  • CVE-2019-11043

Recommandations
+

Mise en place de correctif de sécurité

  • Un correctif de sécurité a été mis en place pour les versions 7.3 et 7.2 de PHP.

Solution de contournement

  • Il est recommandé de mettre à jour PHP vers les versions corrigées.