Se ha anunciado una vulnerabilidad en el módulo mod_php de Apache, por la cual un atacante podrá robar sesiones del servicio https en los sistemas afectados.
Mod_php es un módulo Apache que permite el uso de scripts y conexiones a bases de datos a través de páginas php. La vulnerabilidad anunciada afecta a los sistemas que hagan uso de mod_php en las versiones 4.2.x y 4.3.x con Apache 2.0.x.
El problema reside en un fallo en el tratamiento de descriptores de archivo de forma que un usuario local podrá tomar el control del servicio Apache https.
mod_php filtra algunos descriptores de archivos al proceso PHP. Si un script efectúa una llamada a una aplicación externa a través de las funciones passthru(), exec(), o system(), se filtrarán los
descriptores al programa que realiza la llamada. El descriptor de
fichero del puerto https abierto se encuentra entre los afectados, de forma que cualquier usuario local, o un usurio remoto con permiso para subir ejecutables podrá robar las sesiones https.
Hasta el momento no hay ningún parche o actualización que evite este problema, por lo que como contramedida se recomienda realizar la llamada con el parámetro CLOEXEC, que evita pasar descriptores de archivo privilegiados.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1894
Más información:
Apache mod_php Module File Descriptor Leakage Vulnerability
http://www.securityfocus.com/bid/9302
Hijacking Apache https by mod_php
http://www.securityfocus.com/archive/1/348368
Antonio Ropero
[email protected]
