లైబ్రరీలో , ఇది నుండి రక్షించడానికి హ్యాండ్లర్లను అందిస్తుంది "Phar" ఆకృతిలో ఫైల్ ప్రత్యామ్నాయం ద్వారా, (), ఇది మార్గంలో “..” అక్షరాలను ప్రత్యామ్నాయం చేయడం ద్వారా కోడ్ డీరియలైజేషన్ రక్షణను దాటవేయడానికి మిమ్మల్ని అనుమతిస్తుంది. ఉదాహరణకు, దాడి చేసే వ్యక్తి దాడి కోసం “phar:///path/bad.phar/../good.phar” వంటి URLని ఉపయోగించవచ్చు మరియు లైబ్రరీ మూల పేరు “/path/good.phar”ని హైలైట్ చేస్తుంది తనిఖీ చేయడం, అయితే అటువంటి మార్గం యొక్క తదుపరి ప్రాసెసింగ్ సమయంలో ఫైల్ "/path/bad.phar" ఉపయోగించబడుతుంది.
లైబ్రరీ CMS TYPO3 సృష్టికర్తలచే అభివృద్ధి చేయబడింది, అయితే ఇది ద్రుపాల్ మరియు జూమ్ల ప్రాజెక్ట్లలో కూడా ఉపయోగించబడుతుంది, దీని వలన వాటిని దుర్బలత్వాలకు కూడా గురి చేస్తుంది. విడుదలలలో సమస్య పరిష్కరించబడింది . ద్రుపాల్ ప్రాజెక్ట్ అప్డేట్లు 7.67, 8.6.16 మరియు 8.7.1లో సమస్యను పరిష్కరించింది. జూమ్లాలో సమస్య వెర్షన్ 3.9.3 నుండి కనిపిస్తుంది మరియు విడుదల 3.9.6లో పరిష్కరించబడింది. TYPO3లో సమస్యను పరిష్కరించడానికి, మీరు PharStreamWapper లైబ్రరీని నవీకరించాలి.
ఆచరణాత్మకంగా, PharStreamWapperలోని దుర్బలత్వం హానికరమైన ఫార్ ఫైల్ను అప్లోడ్ చేయడానికి మరియు దానిలో ఉన్న PHP కోడ్ను చట్టబద్ధమైన ఫార్ ఆర్కైవ్ ముసుగులో అమలు చేయడానికి 'థీమ్ అడ్మినిస్టర్' అనుమతులతో ద్రుపాల్ కోర్ వినియోగదారుని అనుమతిస్తుంది. "Phar deserialization" దాడి యొక్క సారాంశం ఏమిటంటే, PHP ఫంక్షన్ file_exists () యొక్క లోడ్ చేయబడిన సహాయ ఫైళ్లను తనిఖీ చేస్తున్నప్పుడు, ఈ ఫంక్షన్ "phar://"తో ప్రారంభమయ్యే మార్గాలను ప్రాసెస్ చేస్తున్నప్పుడు Phar ఫైల్ల (PHP ఆర్కైవ్) నుండి మెటాడేటాను స్వయంచాలకంగా డీరియలైజ్ చేస్తుంది. . ఫైల్_ఎగ్జిస్ట్() ఫంక్షన్ MIME రకాన్ని కంటెంట్ ద్వారా నిర్ధారిస్తుంది మరియు పొడిగింపు ద్వారా కాకుండా phar ఫైల్ని ఇమేజ్గా బదిలీ చేయడం సాధ్యపడుతుంది.
మూలం: opennet.ru