XMCO : Exécution de commande sur un système implémentant PHPMyAdmin
juin 2009 par XMCO PARTNERS
CVE-2009-1151 : PHPMYADMIN REMOTE CODE EXECUTION
– Date : 12 Juin 2009
– Plateforme : Toutes
– Programme : PHPMyAdmin
– Gravité : Urgente
– Exploitation : Distante
– Dommages :
Accès au système
Déni de service
– Description :
Un code d’exploitation pour une vulnérabilté découverte au sein de PHPMyAdmin (voir bulletin n°1239875282) vient d’être rendu public.
La faille de sécurité provient d’un manque de contrôle de la part du script de configuration. En soumettant un paramètre POST contenant du code PHP, un attaquant pouvait insérer ce code PHP au sein du fichier de configuration lors de sa génération. Ce code malicieux sera alors exécuté avec les droits du serveur web.
Le code d’exploitation permet d’insérer le code malicieux au sein du script de configuration "config/config.inc.php" ce qui permettra de passer des commandes sur le système sous-jaçent.
Exemple après exploitation :
http://172.16.211.10/phpMyAdmin-3.0.1.1//config/config.inc.php?c=ls+-l+/
total 96
drwxr-xr-x 2 root root 4096 Mar 11 10:12 bin
drwxr-xr-x 3 root root 4096 May 6 10:01 boot
lrwxrwxrwx 1 root root 11 Oct 12 2008 cdrom -> media/cdrom
drwxr-xr-x 15 root root 14300 Jun 5 09:02 dev
drwxr-xr-x 147 root root 12288 Jun 5 09:02 etc
drwxr-xr-x 3 root root 4096 Oct 18 2008 home
drwxr-xr-x 2 root root 4096 Jul 2 2008 initrd
– Exploit :
Un code d’exploitation est disponible sur notre extranet
– Vulnérable :
* phpMyAdmin 3.1.3.1 et versions antérieures
– Référence :
http://www.gnucitizen.org/static/blog/2009/06/phpmyadminrcesh.txt
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1151
– Correction :
Nous vous recommandons d’installer la version 3.1.3.2 ou d’appliquer les correctifs ci-dessous :
http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=12342
http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=12348
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=1244823141