Découverte d'une vulnérabilité critique pour PHP
Date de publication :
Trois chercheurs indépendants en sécurité informatique ont découvert une vulnérabilité importante, voire critique, pour PHP 7.1, PHP 7.2 et PHP 7.3. Cette vulnérabilité pourrait permettre à un attaquant à distance d’effectuer un déni de service, voire d’exécuter arbitrairement du code à distance, à partir d’un simple accès à une URL mal formée.
La vulnérabilité provient d’un dysfonctionnement présent depuis PHP 5 mais exploitable uniquement depuis PHP 7+. Des codes d’exploitation sont accessibles publiquement sur internet. Un correctif de sécurité a été apporté par les équipes PHP pour PHP 7.1, PHP 7.2 et PHP 7.3.
Détails techniques :
- CVE-2019-11043 [CVSSv3 9.8] : dysfonctionnement permettant à un attaquant d’effectuer un déni de service à partir d’une requête HTTP malveillante, voire une exécution de code à distance. Cette vulnérabilité est présente dans le module « php-fpm » et n’est exploitable que sous certaines conditions de configuration. Les détails sont présents dans les sources situées en fin d’article.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution arbitraire de code à distance
Criticité
- Score CVSS : 9.8.
Existence d’un code d’exploitation de la vulnérabilité
- Des codes d’exploitation sont disponibles publiquement sur internet.
Composants & versions vulnérables
- PHP 7.3.x antérieures à 7.3.11
- PHP 7.2.x antérieures à 7.2.24
- PHP 7.1.x antérieures à 7.1.33
CVE
- CVE-2019-11043
Solutions ou recommandations
Mise en place de correctif de sécurité
- Un correctif de sécurité a été mis en place pour les versions 7.3 et 7.2 de PHP.
Solution de contournement
- Il est recommandé de mettre à jour PHP vers les versions corrigées.