November 15, 2018

Language:

CamSA18-39: ចំនុចខ្សោយជាច្រើនមាននៅក្នុង​ PHP

១.ព័ត៌មានទូទៅ

Hypertext Preprocessor (PHP) គឺជាភាសាសម្រាប់សរសេរកម្មវិធីកុំព្យូទ័រ​​ (programming language) បង្កើតនូវ web-based applications ជាមួយនឹង Hypertext Markup Language (HTML)​។ PHP អាចដំណើរការនៅលើ platforms (Windows, Linux, Unix, …) ជាច្រើន។

ចំនុចខ្សោយជាច្រើនត្រូវបានរកឃើញនៅក្នុង PHP ។ អ្នកវាយប្រហារអាចធ្វើការវាយលុកចូលទៅក្នុងចំនុចខ្សោយទាំងនោះ ហើយដំណើរការនូវកូដ​ (code) នានាដើម្បីគ្រប់គ្រងទៅលើប្រព័ន្ធ។

២.កំណែដែលប៉ៈពាល់

• PHP 7.2 ដល់ 7.2.1០

• PHP 7.1 ដល់ 7.1.22

៣.ផលវិបាក

ការវាយលុកដោយជោគជ័យទៅលើចំនុចខ្សោយទាំងនោះ អាចឲ្យអ្នកវាយប្រហារដំណើរការកូដទៅលើ PHP application​ ដែលរងគ្រោះ។

អ្នកវាយប្រហារអាចធ្វើការគ្រប់គ្រងទៅលើប្រព័ន្ធដើម្បីដំណើរការសកម្មភាពមិនសមស្រប (malicious activities) ដូចជាការតំឡើងកម្មវិធីដោយមិនមានការអនុញ្ញាត ការបង្កើតគណនីអភិបាលផ្សេងទៀត ឬការប៉ៈពាល់ទៅដល់ទិន្នន័យជាដើម។

ការវាយប្រហារមិនជោគជ័យក៏នៅតែអាចដំណើការនូវ​ Denial-Of-Service (DOS) ផងដែរ។

៤.ការណែនាំ

អភិបាលគ្រប់គ្រងទៅលើប្រព័ន្ធត្រូវបានណែនាំដូចខាងក្រោមៈ

– ធ្វើការផ្ទៀងផ្ទាត់ថាមិនមានការកែប្រែណាមួយចំពោះប្រព័ន្ធឡើយមុនពេលដែលធ្វើការអាប់ដេត
– ធ្វើការអាប់ដេត PHP ទៅកំណែចុងក្រោយបង្អស់ ដែលអ្នកអាចស្វែងរកព័ត៌មានលំអិតនៅក្នុងវេបសាយ http://php.net/downloads.php
– ធ្វើការកំហិតនូវសិទ្ធិនានាដែលមាននៅក្នុងប្រព័ន្ធដែលដំណើរការ PHP កំណែចាស់

៥.ព័ត៌មានពាក់ព័ន្ធ

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2018-113/

https://www.herjavecgroup.com/threat-advisory-multiple-php-vulnerabilities-could-allow-arbitrary-code-execution/