I totonu o tuaoi o le poloketi o se module mo le faʻafesoʻotaʻi i le PHP7 faʻamatala, ua mamanuina e faʻaleleia ai le saogalemu o le siosiomaga ma poloka mea sese masani e taʻitaʻia ai faʻafitauli i le faʻaogaina o talosaga PHP. O le module e mafai ai foi ona e faia ni patches faʻapitoa e faʻaleleia ai faʻafitauli faʻapitoa e aunoa ma le suia o le code source of the vulnerable application, lea e faigofie mo le faʻaogaina i le tele o faʻasalalauga faʻapipiʻi e le mafai ai ona faʻatumauina uma talosaga a tagata faʻaoga i le taimi nei. O le module ua tusia i le C, e fesoʻotaʻi i le tulaga o se faletusi fefaʻasoaaʻi ("extension=snuffleupagus.so" i le php.ini) ma laiseneina ile LGPL 3.0.
Snuffleupagus e tuʻuina atu se faiga tulafono e faʻatagaina oe e faʻaogaina faʻataʻitaʻiga masani e faʻaleleia ai le saogalemu, poʻo le fatuina o au lava tulafono e pulea ai faʻamatalaga faʻapipiʻi ma faʻasologa o galuega. Mo se faʻataʻitaʻiga, o le tulafono "sp.disable_function.function("system").param("poloaiga").value_r("[$|;&`\\n]").drop();" fa'atagaina oe e fa'agata le fa'aogaina o mataitusi fa'apitoa i fa'atonuga () galuega e aunoa ma le suia o le talosaga. E faapena foi, e mafai ona e fatuina e poloka ai fa'aletonu ua iloa.
Faʻamasino i suʻega na faia e le au atiaʻe, Snuffleupagus e faigata ona faʻaitiitia le faʻatinoga. Ina ia faʻamautinoa lona lava saogalemu (o faʻafitauli faʻaletonu i totonu o le puipuiga malu e mafai ona avea o se vete faaopoopo mo osofaʻiga), e faʻaogaina e le poloketi suʻega maeʻaeʻa o taʻitoʻatasi taʻitasi i tufatufaga eseese, faʻaogaina faiga suʻesuʻe faʻataʻitaʻi, ma faʻapipiʻi le code ma faʻamaumau e faʻafaigofie le suʻega.
O auala faʻapipiʻi ua tuʻuina atu e poloka ai vasega o faʻafitauli e pei o faʻafitauli, fa'atasi ai ma fa'amaumauga fa'amaumauga, fa'aogaina o le PHP meli () galuega, le leakage o mea o lo'o i totonu o Kuki i le taimi o osofa'iga a le XSS, fa'afitauli ona o le utaina o faila ma le code fa'atino (mo se fa'ata'ita'iga, i le fa'asologa ), leaga le lelei fa'atupu numera fa'afuase'i ma le sa'o XML faufale.
O auala nei e lagolagoina e faʻaleleia ai le saogalemu PHP:
- Otometi ona fa'agasolo fu'a "saogalemu" ma le "samesite" (CSRF protection) mo Kuki, Kuki;
- O tulafono fa'apipi'iina e fa'ailoa ai fa'ailoga o osofa'iga ma fa'amalieina o talosaga;
- Fa'amalosia le fa'agaoioia o le lalolagi "" (mo se faʻataʻitaʻiga, poloka se taumafaiga e faʻamaonia se manoa pe a faʻamoemoeina se numera numera o se finauga) ma puipuiga mai ;
- Fa'atonu poloka (mo se fa'ata'ita'iga, fa'asa le "phar://") fa'atasi ai ma le latou fa'ailoga manino;
- Fa'asa i le fa'atinoina o faila e mafai ona tusia;
- Lisi uliuli ma papae mo eval;
- Manaomia ina ia mafai ai ona siaki tusi faamaonia TLS pe a fa'aoga
pipi'i; - Fa'aopoopoina o le HMAC i mea fa'asologa e fa'amautinoa ai e toe maua mai e le fa'ama'i fa'amaumauga o lo'o teuina e le ulua'i talosaga;
- Talosaga logging mode;
- Puipuia le utaina o faila i fafo i le libxml e ala i fesoʻotaʻiga i pepa XML;
- Malosiaga e fa'afeso'ota'i tagata fa'apitoa i fafo (upload_validation) e siaki ma su'esu'e faila na tu'uina atu;
O le poloketi na faia ma faʻaaogaina e puipuia ai tagata faʻaoga i totonu o atinaʻe a se tasi o faʻalapotopotoga faʻapitoa Farani tele. o le na o le faʻafesoʻotaʻi o Snuffleupagus o le a puipuia mai le tele o faʻafitauli mataʻutia na faʻaalia i lenei tausaga i Drupal, WordPress ma phpBB. O faʻafitauli i Magento ma Horde e mafai ona poloka e ala i le faʻaogaina o le faiga
"sp.readonly_exec.enable()".
puna: opennet.ru