Vulnerabilità in PHP 7.4 risolte in Debian 11
Debian 11, rilasciato per la prima volta il 14 agosto 2021, è stato rilasciato con PHP versione 7.4. Tuttavia, PHP 7.4 ha raggiunto la fine del suo ciclo di vita e non riceverà più aggiornamenti e correzioni di sicurezza ufficiali dal team di sviluppo PHP. Nonostante ciò, la Debian Security Team fornisce ancora patch di sicurezza per PHP 7.4, poiché Debian 11 utilizza ancora PHP 7.4 come versione predefinita.
Recentemente, la Debian Security Team ha affrontato diverse vulnerabilità PHP 7.4 in Debian 11, tra cui CVE-2023-3823, CVE-2023-3824, CVE-2024-2756 e CVE-2024-3096, con punteggi CVSS v3 da 7.5 a 9.8.
CVE-2023-3823 (CVSS v3 Score: 7.5 High)
Questa vulnerabilità è dovuta alla dipendenza di diverse funzioni XML di PHP dal global state di libxml per la gestione delle variabili di configurazione, come il caricamento di entità esterne. Questo stato globale è solitamente considerato immutabile a meno che non sia modificato specificamente dall’utente tramite chiamate di funzione appropriate. Tuttavia, poiché questo stato è condiviso nell’intero processo, altri moduli come ImageMagick, che utilizzano anche la stessa libreria nello stesso processo, possono inavvertitamente modificare questo stato globale per le loro esigenze interne. Di conseguenza, il global state potrebbe essere lasciato in uno stato in cui il caricamento di entità esterne è abilitato.
Questa situazione può portare al parsing involontario di file XML esterni con entità esterne caricate, potenzialmente esponendo file locali accessibili a PHP. Questa vulnerabilità potrebbe persistere in più richieste all’interno dello stesso processo fino alla terminazione del processo.
CVE-2023-3824 (CVSS v3 Score: 9.8 Critical)
Questa vulnerabilità è dovuta a un controllo insufficiente della lunghezza durante il caricamento di un file Phar e la lettura delle voci della directory Phar. Ciò potrebbe causare un overflow dello stack del buffer, che potrebbe portare a una corruzione della memoria o all’esecuzione remota di codice (RCE).
CVE-2024-2756 (CVSS v3 Score: 6.5 Medium)
Questa vulnerabilità è dovuta al modo in cui PHP gestisce i nomi delle variabili HTTP. Un attaccante può sfruttare questa vulnerabilità impostando un cookie insecure standard nel browser della vittima, che i PHP application interpretano erroneamente come un cookie __Host- o __Secure-. È importante notare che questa vulnerabilità persiste a causa di una correzione incompleta per #VU67756 (CVE-2022-31629).
CVE-2024-3096 (CVSS v3 Score: 4.8 Medium)
Questa vulnerabilità è dovuta a un errore nella funzione password_verify(), che potrebbe portare a un numero eccessivo di ritorni veri. Sfruttando questa vulnerabilità, un attaccante remoto potrebbe eludere i meccanismi di autenticazione implementati che si basano su questa funzione vulnerabile, ottenendo così accesso non autorizzato all’applicazione web.
Misure di mitigazione
Nonostante PHP 7.4 abbia raggiunto la fine del suo ciclo di vita, Debian continua a utilizzarlo come versione PHP predefinita. Tuttavia, la Debian Security Team ha affrontato le vulnerabilità PHP 7.4 in Debian 11 attraverso la versione 7.4.33-1+deb11u5. Si consiglia vivamente di aggiornare i propri package PHP 7.4 a questa versione patchata per garantire la sicurezza del proprio sistema.
Per proteggere i sistemi operativi Linux che hanno raggiunto la fine del loro ciclo di vita, come CentOS (6, 7, e 8), Ubuntu 16.04, Ubuntu 18.04, CloudLinux 6, e Oracle Linux 6, è possibile utilizzare l’Extended Lifecycle Support di TuxCare, che fornisce patch di sicurezza per ulteriori anni dopo la fine del supporto. Queste vulnerabilità sono già state risolte nell’Extended Lifecycle Support. Per informazioni sulle vulnerabilità e lo stato delle patch, visitare cve.tuxcare.com.
TuxCare offre anche patch di sicurezza per le versioni end-of-life di PHP, in modo che le applicazioni possano funzionare in modo sicuro senza la necessità di una ristrutturazione massiccia del codice. Per maggiori informazioni sull’Extended Lifecycle Support per PHP, visitare il sito web di TuxCare.
Fonte: https://securityboulevard.com/2024/04/multiple-php-7-4-vulnerabilities-addressed-in-debian-11/
