በቤተ-መጽሐፍት ውስጥ , ይህም ለመከላከል ተቆጣጣሪዎችን ያቀርባል በፋይል መተካት በ "ፋር" ቅርጸት ፣ (በመንገዱ ላይ ያሉትን "..." ቁምፊዎችን በመተካት የኮድ ዲሴሪያላይዜሽን ጥበቃን እንዲያልፉ ያስችልዎታል። ለምሳሌ፣ አጥቂ ለጥቃቱ እንደ “phar:///path/bad.phar/../good.phar” ያለ ዩአርኤል ሊጠቀም ይችላል፣ እና ቤተ መፃህፍቱ ሲፈጠር የመሠረት ስሙን “/path/good.phar” ያደምቃል። በማጣራት ላይ, ምንም እንኳን እንደዚህ አይነት መንገድ ተጨማሪ ሂደት በሚካሄድበት ጊዜ ፋይሉ "/path/bad.phar" ጥቅም ላይ ይውላል.
ቤተ መፃህፍቱ የተገነባው በሲኤምኤስ TYPO3 ፈጣሪዎች ነው፣ ነገር ግን በ Drupal እና Joomla ፕሮጀክቶች ውስጥም ጥቅም ላይ ይውላል፣ ይህ ደግሞ ለተጋላጭነት ተጋላጭ ያደርጋቸዋል። በመልቀቂያዎች ውስጥ የተስተካከለ ጉዳይ . የ Drupal ፕሮጀክቱ ጉዳዩን በዝማኔ 7.67፣ 8.6.16 እና 8.7.1 አስተካክሏል። በ Joomla ችግሩ ከስሪት 3.9.3 ጀምሮ ይታያል እና በተለቀቀው 3.9.6 ላይ ተስተካክሏል። በTYPO3 ውስጥ ያለውን ችግር ለማስተካከል፣የPharStreamWapper ቤተ-መጽሐፍትን ማዘመን ያስፈልግዎታል።
በተግባራዊው በኩል፣ በPharStreamWapper ውስጥ ያለው ተጋላጭነት Drupal Core ተጠቃሚ ‹አስተዳዳሪ ጭብጥ› ፈቃዶችን ተንኮል አዘል ፋይል እንዲሰቅል እና በውስጡ ያለው የPHP ኮድ በህጋዊ የፋርማሲ ማህደር ሽፋን እንዲተገበር ያስችለዋል። ያስታውሱ የ"Phar Deserialization" ጥቃት ፍሬ ነገር የተጫኑትን የእገዛ ፋይሎች የPHP ተግባር ፋይል_exists() ሲፈተሽ ይህ ተግባር በ"phar://" የሚጀምሩ ዱካዎችን ሲሰራ ከፋር ፋይሎች (PHP Archive) ሜታዳታን በራስ ሰር ያጠፋል። . የፋይል_exists() ተግባር የMIME አይነትን የሚወስነው በቅጥያ ሳይሆን በይዘት ስለሆነ የፋር ፋይልን እንደ ምስል ማስተላለፍ ይቻላል።
ምንጭ: opennet.ru