CVE-2024-4577

[imaxi]

Хотелось бы узнать затрагивает ли данная RCE уязвимость ( CVE-2024-4577) в PHP на windows реализацию openserver и как предотвратить возможную эксплуатацию.

[Максим]

В случае обычной локальной разработки можно не придавать значения подобным новостям, поскольку ваш сервер работает локально и доступ к нему извне отсутствует.

Обращать внимание на эту уязвимость, а также на любые другие, имеет смысл только тем редким пользователям, которые используют Open Server Panel как полноценный веб-сервер в сети интернет. Если вдруг ваш локальный сервер доступен через интернет, хотя мы не рекомендуем так делать, то вам остаётся ждать момента, когда разработчики выпустят новую версию PHP и мы выпустим обновление Open Server Panel.

[imaxi]

Решать конечно вам, но RCE из коробки это довольно серьёзная проблема. Многие пользователи которые просто не уследили за новостями и могут сильно пострадать.

[Максим]

Решать конечно вам, но RCE из коробки это довольно серьёзная проблема. Многие пользователи которые просто не уследили за новостями и могут сильно пострадать.

Open Server Panel - это программный комплекс для ЛОКАЛЬНОЙ веб-разработки.

Поэтому нет никаких "многих" пользователей, которые открывают доступ к серверу через Интернет. А тех, кто использует OSP 6 как полноценный веб-сервер - вообще единицы. Я даже сомневаюсь, что такие пользователи существуют в природе, поскольку в новой версии OSP 6 полностью переработаны все конфиги, отсутствуют какие-либо пароли, запреты и проверки, т.е. требуется полная реконфигурация и хорошая подготовка в плане безопасности, чтобы выпустить сервер в сеть.

В документации мы даже оговариваем, что запуск Open Server Panel на публичных IP-адресах без дополнительной защиты крайне опасен. Это может привести к несанкционированному доступу к вашему компьютеру, вплоть до полного контроля над системой и потери данных.

Т.е. те, кто используют сервер с доступом к сети, они делают это на свой страх и риск, принимая все возможные последствия. Ну а те, кто это делает вообще без доп. настройки, тем явно плевать на безопасность и на любые уязвимости в PHP.

[SagePointer]

Хотелось бы узнать затрагивает ли данная RCE уязвимость ( CVE-2024-4577) в PHP на windows реализацию openserver и как предотвратить возможную эксплуатацию.

А если просто взять и почитать оригинальную статью прежде, чем разводить панику?

Fortunately, for defenders, the bug has only been exploited on Windows-based PHP installations (where PHP is specifically used in CGI mode), under some specific locales:
- Chinese (both simplified and traditional), and
- Japanese.

Во-первых, в OSPanel PHP работает либо как модуль апача, либо через FCGI. Давно не припомню, чтобы кто-то запускал PHP в режиме CGI. Возможно, в XAMPP так, судя по гифке в демонстрации, но это уже к ним тогда вопросы.
Во-вторых, сомневаюсь, что у этих "Многие пользователи которые просто не уследили за новостями и могут сильно пострадать" на компьютере установлена японская или китайская локаль, подверженная уязвимости из-за специфичной кодировки.

Хотя, конечно, это не отменяет главной рекомендации - не использовать OpenServer в продакшене. То же самое относится и к любым другим инструментам для локальной разработки, не обладающим механизмами защиты (как минимум - автоматическими своевременными обновлениями с минимальным сроком реакции на свежие уязвимости).

[imaxi]

прежде, чем разводить панику?

Это не отменяет вероятность RCE в комплекте openserver. Вместо того чтоб ссылаться на статью с конкретным PoC - логичней было-бы поделиться информацией о реализации механизма обращения к уязвимому php.exe со стороны openserver и почему в команду к нему не сможет пробраться пресловутый не экранированный 0xAD.

Вероятный механизм эксплуатации уязвимости же вполне может выходить за рамки использования ПО в качестве средства локальной разработки. Например в ином месте могут подсунуть юзеру фрейм на https://127.0.0.1/openserver/phpmyadmin/index.php?%AD...

[Максим]

прежде, чем разводить панику?

Это не отменяет вероятность RCE в комплекте openserver. Вместо того чтоб ссылаться на статью с конкретным PoC - логичней было-бы поделиться информацией о реализации механизма обращения к уязвимому php.exe со стороны openserver и почему в команду к нему не сможет пробраться пресловутый не экранированный 0xAD.

Вероятный механизм эксплуатации уязвимости же вполне может выходить за рамки использования ПО в качестве средства локальной разработки. Например в ином месте могут подсунуть юзеру фрейм на https://127.0.0.1/openserver/phpmyadmin/index.php?%AD...

Open Server Panel представляет собой сборку серверного программного обеспечения, предназначенную для локальной разработки. Само приложение Open Server Panel функционирует как лаунчер в составе этой сборки. Это означает, что утилита запускает необходимые программы с нужным окружением и соответствующими настройками. В операционной системе Linux аналогичную функцию выполняет systemctl. Следует отметить, что Open Server Panel не взаимодействует напрямую с PHP. Вместо этого, оно просто запускает веб-сервер Apache с модулем PHP, либо связку Nginx и FastCGI PHP.

Мы никогда не позиционировали Open Server Panel как защищенный локальный веб-сервер. Пожалуйста, ознакомьтесь с нашей политикой безопасности:

Политика безопасности

Этот проект не обеспечивает безопасность ваших данных и поставляется "как есть". Проект создан для локального использования, какие-либо методы защиты информации, такие как пароли, запреты, ограничения с помощью конфигурации - не используются.

Проект массово использует стороннее программное обеспечение (модульная система), которое может содержать как известные, так и неизвестные уязвимости и ошибки конфигурации.

Процесс устранения уязвимостей

Устранение уязвимостей и доставка обновлений требует определенного времени, которое может быть значительным. В случае с PHP этот процесс выглядит следующим образом:

1. Обнаружение уязвимости.
2. Исправление уязвимости разработчиками PHP (релиз PHP не выпускается немедленно, накапливается определенное количество исправлений, изменений и нововведений).
3. Выпуск новой версии PHP, в которой исправлена обнаруженная уязвимость.
4. Выпуск пересобранного релиза от ApacheLounge (мы используем их релизы, так как они собираются с более новыми версиями библиотек).
5. Обновление модуля PHP в Open Server Panel после выпуска пересобранного релиза от ApacheLounge (релиз OSP не выпускается немедленно, накапливается определенное количество исправлений, изменений и нововведений).
6. Выпуск обновления Open Server Panel с исправленной версией PHP.

[SagePointer]

Вероятный механизм эксплуатации уязвимости же вполне может выходить за рамки использования ПО в качестве средства локальной разработки. Например в ином месте могут подсунуть юзеру фрейм на https://127.0.0.1/openserver/phpmyadmin/index.php?%AD...

Чел, перечитай выше, данная уязвимость относится только к режиму CGI, но не к модулю Апача и не к FCGI. В OpenServer нет никаких настроек PHP в качестве CGI (если, конечно, ты не будешь править конфиги и перенастраивать всё с ног на голову).
Для тех, кто в танке, объясню: в режимах модуля апача и FCGI веб-сервер не выполняет напрямую php.exe, в первом случае он DLLку подгружает, а во втором отдельно запускается FCGI-демон, предоставляющий доступ к PHP-интерпретатору через сокет. Уязвимость некорректной интерпретации командной строки тут неприменима никаким боком. Можешь не бояться, что тебя через эту уязвимость поломают, если не полезешь править конфиги по рандомной иснтрукции начала нулевых годов.