PHP7 souffre d’une vulnérabilité simpliste mais dangereuse

L’exécution de code à distance. C’est l’une des méthodes préférées des pirates pour s’infiltrer sur un serveur, et un chercheur en sécurité russe a découvert il y a quelques jours que PHP7 souffrait d’une faille aussi dangereuse que facile à exploiter. Comme ce langage de programmation est installé sur des millions de serveurs et qu’il est au cœur des principaux CMS, c’est d’autant plus inquiétant.

En l’occurrence, il a découvert qu’il était possible d’attaquer un serveur simplement à l’aide d’une URL à laquelle on ajoute « ? a= » suivi d’une commande. D’abord, le hacker teste le serveur pour voir s’il est vulnérable à ce type d’attaque. Et si c’est positif, il peut alors ajouter la commande de son choix. L’expert en sécurité précise que seuls les serveurs fonctionnant avec NGINX couplé à l’extension PHP-FPM étaient vulnérables, mais aussi que cette faille avait finalement été corrigée la semaine dernière.

Chaque administrateur se doit donc de mettre à jour PHP7 pour éviter d’être la cible d’une attaque avec les versions 7.3.11 et 7.2.24 les plus récentes. Et si ce n’est pas possible, Wallarm, éditeur de PHP7 RCE, explique comment les webmasters peuvent utiliser l’utilitaire de pare-feu standard mod_security pour bloquer toute attaque entrante. (Eureka Presse)