An der Bibliothéik , déi Handlere fir Schutz géint duerch Dateisubstitutioun am "Phar" Format, (), wat Iech erlaabt de Code Deserialiséierungsschutz ze ëmgoen andeems Dir ".." Zeechen am Wee ersetzt. Zum Beispill kann en Ugräifer eng URL wéi "phar:///path/bad.phar/../good.phar" fir en Attack benotzen, an d'Bibliothéik wäert de Basisnumm "/path/good.phar" markéieren wann iwwerpréift, obwuel während der weiderer Veraarbechtung vun esou engem Wee D'Datei "/path/bad.phar" benotzt gëtt.
D'Bibliothéik gouf vun den Creatoren vum CMS TYPO3 entwéckelt, awer gëtt och an Drupal a Joomla Projeten benotzt, wat se och ufälleg fir Schwachstelle mécht. Ausgab fixéiert a Verëffentlechungen . Den Drupal Projet huet d'Thema an Updates 7.67, 8.6.16 an 8.7.1 fixéiert. An Joomla erschéngt de Problem zënter Versioun 3.9.3 a gouf an der Verëffentlechung 3.9.6 fixéiert. Fir de Problem am TYPO3 ze fixéieren, musst Dir d'PharStreamWapper Bibliothéik aktualiséieren.
Op der praktescher Säit erlaabt eng Schwachstelle am PharStreamWapper engem Drupal Core Benotzer mat 'Thema administréieren' Permissiounen eng béiswëlleg Phar Datei eropzelueden an ze verursaachen datt de PHP Code dran enthale gëtt ënner dem Deckmantel vun engem legitimen Phar Archiv ausgefouert. Erënnert drun datt d'Essenz vun der "Phar Deserialization" Attack ass datt wann Dir déi gelueden Hëllefsdateien vun der PHP Funktioun file_exists () iwwerpréift, dës Funktioun automatesch Metadaten aus Phar Dateien (PHP Archive) deserialiséiert wann d'Weeër mat "phar: //" ufänken. . Et ass méiglech eng Phar-Datei als Bild ze transferéieren, well d'Funktion file_exists () den MIME-Typ no Inhalt bestëmmt, an net duerch Extensioun.
Source: opennet.ru