PharStreamWrapper liburutegiko ahultasun batek eragiten dio Drupal, Joomla eta Typo3

Liburutegian PharStreamWrapper, babesteko kudeatzaileak eskainiz - erasoak "Phar" formatuko fitxategiak ordezkatuz, identifikatu zaurgarritasuna (CVE-2019-11831), eta horrek kodearen deserializazioaren babesa saihestea ahalbidetzen du bidean ".." karaktereak ordezkatuz. Adibidez, erasotzaile batek "phar:///path/bad.phar/../good.phar" bezalako URL bat erabil dezake eraso baterako, eta liburutegiak "/path/good.phar" oinarrizko izena hautatuko luke egiaztapenean, nahiz eta bide horren prozesamendu gehiagok "/path/bad.phar" fitxategia erabiliko lukeen.

Liburutegia CMS TYPO3-ren sortzaileek garatu zuten, baina proiektuetan ere erabiltzen da. Drupal и Joomla, eta horrek ahulagoak ere bihurtzen ditu. Arazoa bertsioetan konpondu da PharStreamWrapper 2.1.1 eta 3.1.1Proiektua Drupal 7.67, 8.6.16 eta 8.7.1 eguneratzeetan arazoa konpondu da. Joomla Arazoa 3.9.3 bertsiotik egon da eta 3.9.6 bertsioan konpondu zen. TYPO3-n arazoa konpontzeko, PharStreamWapper liburutegia eguneratu behar duzu.

Ikuspegi praktiko batetik, PharStreamWapper-en ahultasunak erabiltzaileari aukera ematen dio Drupal Core-k, 'Gaia administratu' pribilegioekin, phar fitxategi gaizto bat igotzen du eta barruan dagoen PHP kodea exekutatzen du, phar artxibo legitimo baten moduan mozorrotuta. Gogorarazteko, "Phar deserializazioa" erasoak funtzionatzen du Phar (PHP Artxiboa) fitxategietako metadatuak automatikoki deserializatuz, PHP file_exists() funtziorako igotako laguntza fitxategiak egiaztatzean, "phar://"-rekin hasten diren bideak prozesatzen direnean. Phar fitxategi bat irudi gisa transferitzea posible da, file_exists()-ek MIME mota zehazten baitu fitxategiaren edukian oinarrituta, ez luzapenean oinarrituta.

Iturria: opennet.ru

Erosi hosting fidagarria DDoS babesa duten guneetarako, VPS VDS zerbitzariak 🔥 Erosi webguneentzako ostatu fidagarria DDoS babesarekin, VPS VDS zerbitzariak | ProHoster