PHP multipart/form-data头部解析远程拒绝服务漏洞

发布日期：2015-05-18


受影响的软件及系统：
====================
PHP 5.0.0 - 5.0.5
PHP 5.1.0 - 5.1.6
PHP 5.2.0 - 5.2.17
PHP 5.3.0 - 5.3.29
PHP 5.4.0 - 5.4.40
PHP 5.5.0 - 5.5.24
PHP 5.6.0 - 5.6.8

未受影响的软件及系统：
======================
PHP 5.4.41
PHP 5.5.25
PHP 5.6.9

综述：
======
PHP 存在一个远程拒绝服务漏洞，攻击者通过发送恶意的HTTP请求，可以导致CPU资源大量占用，造成远程拒绝服务。

此漏洞影响所有PHP 5版本，更低版本可能也受影响，建议尽快升级。

分析：
======
PHP 在处理HTTP请求中的multipart/form-data头部数据时存在一个安全漏洞，导致PHP大量重复分配和拷贝内存的操作，可能造成CPU资源占用100%并持续较长时间，这可能造成远程拒绝服务攻击。

PHP 调用multipart_buffer_headers()函数来解析HTTP请求中的multipart头部数据，每次解析由get_line得到的一行。当被解析的行是以空白字符开始或者不包含“:”字符时，该行将被当作是前一头字段的延续来处理。此时，将会分配一个新的缓冲区，将前一头字段的值与当前行拼接起来作为该字段新的值。这个过程包含1次emalloc调用、2次memcpy调用。

若一个头字段是由多行组成，将导致多次调用emalloc与memcpy，并且分配的空间与拷贝的长度将越来越大。

因此，当行的数目足够多时，拷贝的操作将显著的消耗服务器的CPU。实际测试中，包含近一百万行的头字段可以使服务器的CPU保持100%几秒或者数十秒。如果并发多个攻击请求，可能造成更长时间的资源占用。

攻击者可通过发送一个2M左右的包含多行multipart头部数据的HTTP请求来发起攻击，无需认证，也不依赖PHP程序本身的内容。

解决方法：
==========
没有好的临时解决方法，建议进行升级。

厂商状态：
==========
PHP 已经在下列版本中修复此漏洞：

PHP 5.4.41：
http://php.net/downloads.php#v5.4.41

PHP 5.5.25：
http://php.net/downloads.php#v5.5.25

PHP 5.6.9：
http://php.net/downloads.php#v5.6.9

附加信息：
==========
1. https://bugs.php.net/bug.php?id=69364
2. http://php.net/ChangeLog-5.php#5.6.9
3. http://www.nsfocus.net/index.php?act=alert&do=view&aid=157

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技