Aller au contenu
AFUP AFUP Day 2025 Baromètre Planète PHP PUFA
 

Utiliser une faille de la glibc pour attaquer le moteur PHP

Description

Cette conférence décrit la découverte, l'impact et l'exploitation de la vulnérabilité CVE-2024-2961, publiée par LEXFO il y a quelques mois. Ici, pas d'injection SQL, de Cross-Site Scripting ou d'injection de commande : on attaque directement l'interpréteur du langage ! En effet, cette faille de dépassement de tampon (buffer overflow), située dans la GLIBC, la librairie standard utilisée par tous les programmes Linux, offre la possibilité de corrompre l'allocateur PHP, et ainsi prendre le contrôle d'un serveur à distance.

À travers l'exploitation de cette vulnérabilité, de deux façons différentes (via les failles de lecture de fichier, et les appels directs à la fonction vulnérable), cette conférence vous donnera un aperçu du fonctionnement interne de PHP, son allocateur, et ses structures principales (zval, zend_string, etc.), et comment un hacker peut compromettre l'interpréteur du langage, à même son coeur.

Conférence donnée lors du Forum PHP 2024, ayant eu lieu les 10 et 11 octobre 2024.

Informations complémentaires

Vidéo

Le speaker

Charles FOL

Charles Fol, aussi connu sous le nom de cfreal, est un chercheur en sécurité dans l'entreprise française LEXFO / AMBIONICS. Il a découvert des vulnérabilités permettant d'exécuter des commandes à distance dans de nombreux CMS et frameworks tels que Drupal, Magento, Symfony ou Laravel, mais il attaque aussi des cibles binaires telles que Apache ou PHP-FPM, et les solutions de sécurité (Sqreen de DataDog, les VPNs Fortinet et Watchguard...). Charles est aussi le créateur de PHPGGC, un outil permettant d'exploiter des failles de désérialisation sur PHP. Il est reconnu en tant qu'expert sur la sécurité du moteur PHP.