Un bogue récent trouvé dans PHP et diffusé au public par erreur peut laisser n’importe quelle page du serveur ouverte pour l’insertion de code malveillant. La vulnérabilité, qui n’affecte que les serveurs exécutant PHP en mode CGI, a été découverte par une équipe de pirates informatiques lors d’un concours.
L’essentiel de la faille est qu’aujourd’hui, vous pouvez appeler les paramètres PHP directement à partir de l’URL. Par exemple, en accédant à http://localhost/index.php?-s, le serveur exécuterait PHP avec le paramètre -s, qui affiche le code source du fichier, et non le HTML qu’il génère. Ce seul problème suffirait (après tout, il est courant d’insérer des données comme des mots de passe de base de données dans le code source), mais l’équipe qui a découvert la faille a également réalisé qu’elle permettait d’insérer un code malveillant dans le fichier et de l’exécuter.
Les découvertes de ce type sont généralement envoyées aux développeurs qui résolvent d’abord le problème et publient une mise à jour, puis les véhicules annoncent le bogue et la correction, mais à cause d’une erreur humaine, le bogue a été accidentellement envoyé comme “public” dans le système de bogue PHP.
Bien que l’équipe de développeurs ait déjà publié un correctif, certaines informations indiquent qu’il ne résout pas entièrement le problème. Idéalement, vous devriez utiliser PHP autrement qu’en mode CGI (en mode FastCGI, cela n’arrive pas) ou inclure une règle pour qu’Apache bloque les URLs avec “-” dans le fichier .htaccess, évitant ainsi l’utilisation de paramètres PHP. La règle est la suivante :
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+€ [NC]RewriteRule ^(.*) 1 € ? [L]
Une nouvelle mise à jour devrait sortir prochainement, avec une correction plus efficace. Jusque-là, on ne fait guère attention.
