Ke hoʻomohala nei ka papahana Snuffleupagus i kahi module PHP no ka pale ʻana i nā nāwaliwali

Ma nā palena o ka papahana snuffleupagus ke ulu nei he module no ka hoʻopili ʻana i ka unuhi ʻōlelo PHP7, i hoʻolālā ʻia e hoʻomaikaʻi i ka palekana o ke kaiapuni a me ka pale ʻana i nā hewa maʻamau e alakaʻi i nā nāwaliwali i ka holo ʻana i nā polokalamu PHP. Hāʻawi ka module iā ʻoe e hana i nā patches virtual e hoʻoponopono i nā pilikia kikoʻī me ka ʻole o ka hoʻololi ʻana i ke code kumu o ka noi vulnerable, kahi kūpono no ka hoʻohana ʻana i nā ʻōnaehana hoʻokipa lehulehu kahi hiki ʻole ke mālama i nā noi mea hoʻohana a pau. Ua kākau ʻia ka module ma C, ua pili ʻia ma ke ʻano o kahi waihona like ("extension=snuffleupagus.so" ma php.ini) a mahele ʻia e laikini ma lalo o LGPL 3.0.

Hāʻawi ʻo Snuffleupagus i kahi ʻōnaehana lula e hiki ai iā ʻoe ke hoʻohana i nā maʻamau maʻamau e hoʻomaikaʻi i ka palekana, a i ʻole e hana i kāu mau lula ponoʻī e kāohi i ka ʻikepili komo a me nā ʻāpana hana. No ka laʻana, ka lula "sp.disable_function.function("system").param("kauoha").value_r("[$|;&`\\n]").drop();" hiki iā ʻoe ke kaupalena i ka hoʻohana ʻana i nā huaʻōlelo kūikawā i loko o nā ʻōnaehana () hoʻopaʻapaʻa hana me ka hoʻololi ʻole i ka noi. Pēlā nō, hiki iā ʻoe ke hana nā pākuʻi virtual e ālai i nā nāwaliwali i ʻike ʻia.

Ke hoʻoholo nei e nā hoʻokolohua i alakaʻi ʻia e nā mea hoʻomohala, ʻaʻole i hōʻemi ʻo Snuffleupagus i ka hana. No ka hōʻoia ʻana i kona palekana ponoʻī (hiki i nā nāwaliwali o ka ʻāpana palekana ke lilo i vector hou no ka hoʻouka ʻana), hoʻohana ka papahana i ka hoʻāʻo ʻana o kēlā me kēia hana i nā māhele like ʻole, hoʻohana i nā ʻōnaehana loiloi static, a ua hoʻonohonoho ʻia a kākau ʻia ke code e maʻalahi i ka loiloi.

Hāʻawi ʻia nā ala i kūkulu ʻia e pale i nā papa o nā nāwaliwali e like me nā pilikia, pili me ka serialization data, palekana ʻole ka hoʻohana ʻana i ka PHP mail () hana, leakage o nā ʻike Kuki i ka wā o ka hoʻouka ʻana o XSS, nā pilikia ma muli o ka hoʻouka ʻana i nā faila me ka code executable (no ka laʻana, ma ke ʻano phar), hanau helu random maikaʻi ʻole a pani hewa nā kūkulu XML.

Kākoʻo ʻia kēia mau ʻano e hoʻonui i ka palekana PHP:

• Hoʻohana 'akomi i nā hae "palekana" a me ka "samesite" (CSRF protection) no nā Kuki, hoʻopunipona Kuki;
• Nā lula i kūkulu ʻia no ka ʻike ʻana i nā ʻāpana o ka hoʻouka ʻana a me ka ʻae ʻana i nā noi;
• Hoʻoikaika ʻia ka honua holoʻokoʻa o ka "nui" (no ka laʻana, poloka i kahi hoʻāʻo e kuhikuhi i kahi kaula i ka wā e manaʻo ai i kahi waiwai integer ma ke ʻano he hoʻopaʻapaʻa) a me ka pale ʻana mai ʻano hoʻopunipuni;
• Kāohi ʻia ma ka paʻamau nā mea hoʻopili protocol (no ka laʻana, pāpā i ka "phar://") me kā lākou papa inoa keʻokeʻo;
• Ka pāpā ʻana i ka hoʻokō ʻana i nā faila hiki ke kākau ʻia;
• Nā papa inoa ʻeleʻele a keʻokeʻo no ka eval;
• Pono e hiki ke nānā i ka palapala hōʻoia TLS ke hoʻohana
  wili;

• Hoʻohui i ka HMAC i nā mea serialized e hōʻoia i ka deserialization e kiʻi i ka ʻikepili i mālama ʻia e ka noi kumu;
• Ke ano logging ninau;
• Kāohi i ka hoʻouka ʻana o nā faila waho ma libxml ma o nā loulou i nā palapala XML;
• Hiki ke hoʻopili i nā mea hoʻohana waho (upload_validation) e nānā a nānā i nā faila i hoʻouka ʻia;

Ua hana ʻia ka papahana a hoʻohana ʻia no ka pale ʻana i nā mea hoʻohana i ka ʻoihana o kekahi o nā mea hoʻokipa nui Farani. Hoʻomaopopo ʻiaʻO ka hoʻopili wale ʻana iā Snuffleupagus e pale aku i ka nui o nā mea nāwaliwali i ʻike ʻia i kēia makahiki ma Drupal, WordPress a me phpBB. Hiki ke ālai ʻia nā vulnerabilities ma Magento a me Horde e ka ʻae ʻana i ka
"sp.readonly_exec.enable()".

Source: opennet.ru