安全指標

Question

在對安全性指標執行掃描以確保PCI符合性時，出現以下錯誤消息。 有誰知道如何解決這個問題？

*Title: vulnerable web program (phpRPC) Impact: A remote attacker could execute arbitrary commands, create or overwrite files, or view files or directories on the web server.

Data Sent: POST /ie/modules/phpRPC/server.php HTTP/1.0

Host: example.com

Content-type: text/xml Content-Length:162 <?xml version="1.0"?> <methodCall> <methodName>test.method</methodName> <params> <param> <value><base64>'));system(id);exit; </param> </params> </methodCall>

Data Received: ????<img height="1" width="1" style="border- style:none;" alt="" src="//googleads.g.doubleclick.net/p agead/viewthroughconversion/997970389/?value=0&amp;label=PlcJCKu92AQ Q1aPv2wM&amp;guid=ON&amp;script=0"/>

Resolution: 03/09/06 CVE 2006-1032 phpRPC is an xmlrpc library that uses database and rpc-protocol abstraction. It is prone to a remote code execution vulnerability because the decode() function within the rpc_decoder.php script fails to adequately sanitize user-supplied input before processing it in an eval() call.
Successful exploitation would result in arbitrary code execution in the context of the application. PHP scripts that implement the phpRPC library, such as RunCMS, are affected by this issue. RunCMS 1.1 through 1.3.a5 are affected, as is phpRPC up to 0.7.

Resolution: phpRPC is not currently being maintained. RunCMS users should upgrade to a version higher than 1.3.a5 which will hopefully include a fix.

Risk Factor: High/ CVSS2 Base Score: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) CVE: CVE-2006-1032 BID: 16833 [Less]*

Answer 1

現在這是一個相對較舊的問題，但是我認為這是答案，因為我遇到了完全相同的問題。

安全度量有效地嘗試調用id的linux命令，該命令將返回類似uid=1000(rob) gid=1000(rob) groups=...

我的理論是，安全度量標准正在檢查字符串uid=的響應，以查看代碼是否已在遠程服務器上執行。 這恰好與Google的再營銷標簽匹配。 例如。 在您的問題中uid =的一部分： src="//googleads.g.doubleclick.net/p agead/viewthroughconversion/997970389/?value=0&label=PlcJCKu92AQ Q1aPv2wM&guid=ON&script=0"

我的解決方案是在我們的404頁上完全刪除Google再營銷標簽，而不僅僅是用JS或HTML注釋將其注釋掉。 因為返回的是他們發布到（ /scripts/modules/phpRPC/server.php ）的URL的404頁面，以嘗試查找漏洞。

希望對您或其他遇到此問題的人有所幫助。

謝謝，

搶

Answer 2

這是一個相對嚴重的問題，因為攻擊者可以使用服務器上的RPC服務。 在不了解您的系統細節的情況下，我無法推薦特定的修復程序。 但是，您看到的漏洞很可能是由過時的系統引起的。 您應該升級並安裝所有補丁。 如果您的平台已停產，請遷移到較新的版本。 通用漏洞枚舉包含有關掃描儀識別的漏洞的一些特定信息，這些信息可能會對您有所幫助。