ProHoster > Pūnaewele > nūhou pūnaewele > Hoʻokuʻu ʻia ʻo Snuffleupagus 0.5.1, kahi module no ka pale ʻana i nā nāwaliwali i nā noi PHP

Hoʻokuʻu ʻia ʻo Snuffleupagus 0.5.1, kahi module no ka pale ʻana i nā nāwaliwali i nā noi PHP

Ma hope o hoʻokahi makahiki o ka hoʻomohala ʻana i paʻiʻia hoʻokuʻu papahana Snuffleupagus 0.5.1, e hāʻawi ana i kahi module no ka PHP7 unuhi e hoʻomaikaʻi i ka palekana o ke kaiapuni a pale i nā hewa maʻamau e alakaʻi i nā nāwaliwali i ka holo ʻana i nā polokalamu PHP. ʻAe ka module iā ʻoe e hana nā pākuʻi virtual e hoʻopau i nā pilikia kiko'ī me ka hoʻololiʻole i ke kumu kumu o ka noi pilikia, kahi kūpono no ka hoʻohanaʻana i nā pūnaewele hoʻolaha lehulehu kahi hikiʻole ke mālama i nā noi mea hoʻohana a pau i kēia lā. Ua manaʻo ʻia he liʻiliʻi nā kumukūʻai ma luna o ka module. Ua kākau ʻia ka module ma C, ua pili ʻia ma ke ʻano o kahi waihona like ("extension=snuffleupagus.so" ma php.ini) a mahele ʻia e laikini ma lalo o LGPL 3.0.

Hāʻawi ʻo Snuffleupagus i kahi ʻōnaehana lula e hiki ai iā ʻoe ke hoʻohana i nā maʻamau maʻamau e hoʻomaikaʻi i ka palekana, a i ʻole e hana i kāu mau lula ponoʻī e kāohi i ka ʻikepili komo a me nā ʻāpana hana. No ka laʻana, ka lula "sp.disable_function.function("system").param("kauoha").value_r("[$|;&`\\n]").drop();" hiki iā ʻoe ke kaupalena i ka hoʻohana ʻana i nā huaʻōlelo kūikawā i loko o nā ʻōnaehana () hoʻopaʻapaʻa hana me ka hoʻololi ʻole i ka noi. Hāʻawi ʻia nā ala i kūkulu ʻia e pale i nā papa o nā nāwaliwali e like me nā pilikia, pili me ka serialization data, palekana ʻole ka hoʻohana ʻana i ka PHP mail () hana, leakage o nā ʻike Kuki i ka wā o ka hoʻouka ʻana o XSS, nā pilikia ma muli o ka hoʻouka ʻana i nā faila me ka code executable (no ka laʻana, ma ke ʻano phar), hanau helu random maikaʻi ʻole a pani hewa nā kūkulu XML.

Hāʻawi ʻia nā ʻano hoʻonui palekana PHP e Snuffleupagus:

  • Hoʻohana 'akomi i nā hae "palekana" a me ka "samesite" (CSRF protection) no nā Kuki, hoʻopunipona Kuki;
  • Nā lula i kūkulu ʻia no ka ʻike ʻana i nā ʻāpana o ka hoʻouka ʻana a me ka ʻae ʻana i nā noi;
  • Hoʻoikaika ʻia ka honua holoʻokoʻa o ka "nui" (no ka laʻana, poloka i kahi hoʻāʻo e kuhikuhi i kahi kaula i ka wā e manaʻo ai i kahi waiwai integer ma ke ʻano he hoʻopaʻapaʻa) a me ka pale ʻana mai ʻano hoʻopunipuni;
  • Kāohi ʻia ma ka paʻamau nā mea hoʻopili protocol (no ka laʻana, pāpā i ka "phar://") me kā lākou papa inoa keʻokeʻo;
  • Ka pāpā ʻana i ka hoʻokō ʻana i nā faila hiki ke kākau ʻia;
  • Nā papa inoa ʻeleʻele a keʻokeʻo no ka eval;
  • Pono e hiki ke nānā i ka palapala hōʻoia TLS ke hoʻohana
    wili;
  • Hoʻohui i ka HMAC i nā mea serialized e hōʻoia i ka deserialization e kiʻi i ka ʻikepili i mālama ʻia e ka noi kumu;
  • Ke ano logging ninau;
  • Kāohi i ka hoʻouka ʻana o nā faila waho ma libxml ma o nā loulou i nā palapala XML;
  • Hiki ke hoʻopili i nā mea hoʻohana waho (upload_validation) e nānā a nānā i nā faila i hoʻouka ʻia;

Ma waena o loli i ka hoʻokuʻu hou: Hoʻonui i ke kākoʻo no PHP 7.4 a hoʻokō i ka hoʻokō ʻana me ka lālā PHP 8 i kēia manawa i ka hoʻomohala ʻia. Ua hōʻano hou ʻia ka hoʻonohonoho paʻamau o nā lula e hoʻokomo i nā lula hou no nā nāwaliwali i ʻike ʻia a me nā ʻenehana hoʻouka kaua i nā noi pūnaewele. Hoʻonui i ke kākoʻo no ka macOS a me ka hoʻonui ʻana i ka hoʻohana ʻana i ka paepae hoʻohui mau e pili ana iā GitLab.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka