Sicherheitsanfälligkeit in der PharStreamWrapper-Bibliothek, die Drupal, Joomla und Typo3 betrifft

In der Bibliothek PharStreamWrapper, die Handler zum Schutz vor Durchführung Angriffen durch die Einfügung von Dateien im „Phar“-Format wurde in Cisco-Switches die gesamte Unternehmensnetzwerkwelt fast weltweit in Frage. (CVE-2019-11831), die das Umgehen des Schutzes vor der Deserialisierung von Code durch die Einfügung von „..“-Zeichen im Pfad ermöglicht. Ein Angreifer könnte beispielsweise eine URL im Format „phar:///path/bad.phar/../good.phar“ verwenden, und die Bibliothek würde bei der Überprüfung den Basisnamen „/path/good.phar“ extrahieren, während bei der weiteren Verarbeitung des Pfades die Datei „/path/bad.phar“ verwendet wird.

Die Bibliothek wurde von den Entwicklern des CMS TYPO3 erstellt, wird jedoch auch in Projekten von Drupal und Joomla verwendet, was sie ebenfalls anfällig für diese Schwachstelle macht. Das Problem wurde in den Versionen PharStreamWrapper 2.1.1 und 3.1.1behoben. Das Projekt Drupal hat das Problem in den Updates 7.67, 8.6.16 und 8.7.1 behoben. In Joomla tritt das Problem ab Version 3.9.3 auf und wurde in der Version 3.9.6 behoben. Um das Problem in TYPO3 zu beheben, muss die Bibliothek PharStreamWrapper aktualisiert werden.

Aus praktischer Sicht ermöglicht die Schwachstelle in PharStreamWapper einem Benutzer des Drupal Core mit Administratorrechten für Themes ('Administer theme'), schadhafte Phar-Dateien hochzuladen und PHP-Code auszuführen, der in diesen als legitime Phar-Archive getarnt ist. Es ist wichtig zu beachten, dass der Kern der "Phar-Deserialisierung"-Attacke darin besteht, dass bei der Überprüfung hochgeladener Dateien durch die PHP-Funktion file_exists() diese Funktion automatisch Metadaten aus Phar-Dateien (PHP Archive) deserialisiert, wenn sie Pfade verarbeitet, die mit "phar://" beginnen. Das Übertragen einer Phar-Datei kann in Form eines Bildes erfolgen, da die Funktion file_exists() den MIME-Typ anhand des Inhalts und nicht der Erweiterung bestimmt.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster