நூலகத்தில் , இது எதிராக பாதுகாக்க கையாளுபவர்களை வழங்குகிறது "Phar" வடிவத்தில் கோப்பு மாற்று மூலம், (), இது பாதையில் ".." எழுத்துக்களை மாற்றுவதன் மூலம் குறியீட்டை நீக்குதல் பாதுகாப்பைத் தவிர்க்க உங்களை அனுமதிக்கிறது. எடுத்துக்காட்டாக, தாக்குபவர் தாக்குதலுக்கு “phar:///path/bad.phar/../good.phar” போன்ற URL ஐப் பயன்படுத்தலாம், மேலும் நூலகம் “/path/good.phar” என்ற அடிப்படைப் பெயரை முன்னிலைப்படுத்தும். சரிபார்க்கிறது, இருப்பினும் அத்தகைய பாதையை மேலும் செயலாக்கும்போது "/path/bad.phar" கோப்பு பயன்படுத்தப்படும்.
இந்த நூலகம் CMS TYPO3 உருவாக்கியவர்களால் உருவாக்கப்பட்டது, ஆனால் இது Drupal மற்றும் Joomla திட்டங்களிலும் பயன்படுத்தப்படுகிறது, இதனால் அவை பாதிப்புகளுக்கு ஆளாகின்றன. வெளியீடுகளில் சிக்கல் சரி செய்யப்பட்டது . Drupal திட்டமானது 7.67, 8.6.16 மற்றும் 8.7.1 புதுப்பிப்புகளில் சிக்கலைச் சரிசெய்தது. ஜூம்லாவில் பதிப்பு 3.9.3 இலிருந்து சிக்கல் தோன்றுகிறது மற்றும் வெளியீடு 3.9.6 இல் சரி செய்யப்பட்டது. TYPO3 இல் உள்ள சிக்கலைச் சரிசெய்ய, நீங்கள் PharStreamWapper நூலகத்தைப் புதுப்பிக்க வேண்டும்.
நடைமுறைப் பக்கத்தில், PharStreamWapper இல் உள்ள ஒரு பாதிப்பு, 'நிர்வாகி தீம்' அனுமதிகளைக் கொண்ட Drupal Core பயனரை தீங்கிழைக்கும் phar கோப்பைப் பதிவேற்றவும், அதில் உள்ள PHP குறியீட்டை முறையான phar காப்பகத்தின் போர்வையில் செயல்படுத்தவும் அனுமதிக்கிறது. "Phar deserialization" தாக்குதலின் சாராம்சம் என்னவென்றால், PHP செயல்பாடு file_exists () இன் ஏற்றப்பட்ட உதவி கோப்புகளை சரிபார்க்கும் போது, இந்த செயல்பாடு "phar://" இல் தொடங்கும் பாதைகளை செயலாக்கும் போது Phar கோப்புகளிலிருந்து (PHP காப்பகம்) தானாகவே மெட்டாடேட்டாவை நீக்குகிறது. . ஒரு phar கோப்பை ஒரு படமாக மாற்றுவது சாத்தியம், ஏனெனில் file_exists() செயல்பாடு MIME வகையை உள்ளடக்கத்தால் தீர்மானிக்கிறது, ஆனால் நீட்டிப்பு மூலம் அல்ல.
ஆதாரம்: opennet.ru