لائبریری میں ، جو ہینڈلرز کو تحفظ فراہم کرتا ہے۔ "Phar" فارمیٹ میں فائل کے متبادل کے ذریعے، ()، جو آپ کو راستے میں ".." حروف کو تبدیل کرکے کوڈ ڈی سیریلائزیشن تحفظ کو نظرانداز کرنے کی اجازت دیتا ہے۔ مثال کے طور پر، حملہ آور حملے کے لیے یو آر ایل جیسے "phar:///path/bad.phar/../good.phar" استعمال کر سکتا ہے، اور لائبریری بنیادی نام "/path/good.phar" کو نمایاں کرے گی جب چیک کر رہا ہے، حالانکہ اس طرح کے راستے پر مزید کارروائی کرتے وقت فائل "/path/bad.phar" استعمال کی جائے گی۔
لائبریری کو CMS TYPO3 کے تخلیق کاروں نے تیار کیا تھا، لیکن اسے Drupal اور Joomla پروجیکٹس میں بھی استعمال کیا جاتا ہے، جس کی وجہ سے وہ بھی کمزوریوں کا شکار ہو جاتے ہیں۔ ریلیز میں طے شدہ مسئلہ . ڈروپل پروجیکٹ نے 7.67، 8.6.16 اور 8.7.1 اپ ڈیٹس میں مسئلہ حل کیا۔ جملہ میں مسئلہ ورژن 3.9.3 سے ظاہر ہوتا ہے اور اسے ریلیز 3.9.6 میں طے کیا گیا تھا۔ TYPO3 میں مسئلہ حل کرنے کے لیے، آپ کو PharStreamWapper لائبریری کو اپ ڈیٹ کرنے کی ضرورت ہے۔
عملی طور پر، PharStreamWapper میں ایک کمزوری 'Administer theme' کی اجازت کے ساتھ Drupal Core کے صارف کو ایک نقصان دہ phar فائل اپ لوڈ کرنے اور اس میں موجود PHP کوڈ کو ایک جائز phar آرکائیو کی آڑ میں لاگو کرنے کی اجازت دیتی ہے۔ یاد رکھیں کہ "Phar deserialization" اٹیک کا نچوڑ یہ ہے کہ جب PHP فنکشن file_exists() کی بھری ہوئی ہیلپ فائلوں کو چیک کرتے ہیں، تو یہ فنکشن خود بخود Phar فائلز (PHP آرکائیو) سے میٹا ڈیٹا کو ڈی سیریلائز کر دیتا ہے جب "phar://" سے شروع ہونے والے راستوں پر کارروائی کرتے ہیں۔ . phar فائل کو بطور تصویر منتقل کرنا ممکن ہے، کیونکہ file_exists() فنکشن مواد کے لحاظ سے MIME قسم کا تعین کرتا ہے، نہ کہ توسیع کے ذریعے۔
ماخذ: opennet.ru