Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +/– | |
Сообщение от opennews (?), 10-Май-19, 22:12 | ||
В библиотеке PharStreamWrapper (https://github.com/TYPO3/phar-stream-wrapper), предоставляющей обработчики для защиты от проведения (https://www.opennet.me/opennews/art.shtml?num=49746) атак (https://www.opennet.me/opennews/art.shtml?num=49641) через подстановку файлов в формате "Phar", выявлена уязвимость (https://www.drupal.org/sa-core-2019-007) (CVE-2019-11831 (https://security-tracker.debian.org/tracker/CVE-2019-11831)), позволяющая обойти защиту от десериализации кода через подстановку символов ".." в пути. Например, атакующий может использовать для атаки URL вида "phar:///path/bad.phar/../good.phar". | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +2 +/– | |
Сообщение от Анонимус Суминонус (?), 10-Май-19, 22:12 | ||
Красиво | ||
Ответить | Правка | Наверх | Cообщить модератору |
2. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +6 +/– | |
Сообщение от Аноним (2), 10-Май-19, 22:38 | ||
Мы написали костыль, чтобы починить дырявый костыль. Но новый костыль тоже оказался с дырой… | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +/– | |
Сообщение от Аноним (37), 12-Май-19, 23:18 | ||
Ответ очевиден - нужен ещё один костыль | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +/– | |
Сообщение от Michael Shigorin (ok), 10-Май-19, 23:07 | ||
Эх, это ж типовой косяк двадцатилетней давности... | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +4 +/– | |
Сообщение от Sluggard (ok), 11-Май-19, 00:19 | ||
> Библиотека разработана создателями CMS TYPO3 | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +3 +/– | |
Сообщение от Michael Shigorin (ok), 12-Май-19, 00:51 | ||
>> Библиотека разработана создателями CMS TYPO3 | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | –1 +/– | |
Сообщение от Аноним (5), 11-Май-19, 06:43 | ||
Из документации PHP: | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от Аноним (6), 11-Май-19, 08:17 | ||
Не так тут PHP. | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +2 +/– | |
Сообщение от пох (?), 11-Май-19, 08:45 | ||
вам в пехепе 4. Ну или максимум - 5.2 (который пожалуй и был последним true php) | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
9. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +/– | |
Сообщение от Евгений (??), 11-Май-19, 08:52 | ||
Ерунду не говорите, создание своего стримвроппера в 4.3.2 появилось. | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | –1 +/– | |
Сообщение от пох (?), 11-Май-19, 10:38 | ||
только вот что-то я не слышал о подобных уязвимостях не то что в 4, а и в ранних 5. | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +/– | |
Сообщение от Онаним (?), 11-Май-19, 11:06 | ||
У меня для вас очень плохие новости: уязвимости в glob() существовали безотносительно языка. Однако их удалённая эксплуатация (без наличия у атакующего каких-либо локальных привилегий в системе) возможна опять же только при передаче невалидированного ввода. | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от пох (?), 11-Май-19, 11:25 | ||
> уязвимости в glob() | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от Онаним (?), 11-Май-19, 13:21 | ||
Вот с чем соглашусь - так это с тем, что вся механика phar - редкостное удолбище. Оно по уму эксплицитно должно быть, через mount_phar($alias, $phar_file) например, который бы включал конкретный файл в конкретный путь phar://<alias>/... | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
34. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от пох (?), 11-Май-19, 22:24 | ||
пожалуй что и да - я тут бегло полистал остальные стримы - нигде такой жопищи нет, если назвать кошку rar:// - абсолютно никакого ущерба окружающим она не нанесет, пока не попытаешься ее распаковать (да и тут это баг в конкретном модуле, а не by design) | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от Евгений (??), 11-Май-19, 08:53 | ||
Вы прочитали неправильно. file_exists не определяет mime-тип. | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
11. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от Евгений (??), 11-Май-19, 08:55 | ||
то есть написано неправильно | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от Заря (?), 11-Май-19, 09:36 | ||
file_exists выполняет вначале код контейнера phar. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от Онаним (?), 11-Май-19, 10:34 | ||
Лучше бы вы не писали, и не показывали свою собственную безграмотность. | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от пох (?), 11-Май-19, 10:44 | ||
> Криворучкам 100500 раз говорили, что при использовании пользовательского ввода его надо 100% валидировать | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | –1 +/– | |
Сообщение от Онаним (?), 11-Май-19, 10:50 | ||
Нет у меня формального критерия отличать ваш файл. Я его просто априори переименую в то, что валидно для моей файловой системы, и сохраню так, как мне надо - в нужный шард, каталог, etc. А оригинальное имя запишу в книжечку метаданных. | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +/– | |
Сообщение от пох (?), 11-Май-19, 11:39 | ||
> Нет у меня формального критерия отличать ваш файл. Я его просто априори | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | –1 +/– | |
Сообщение от Онаним (?), 11-Май-19, 13:14 | ||
Можешь называть свою кошку как угодно, поскольку ты даже не увидишь, что на сервисе твой файл назвался просто /shards/uploads/0/1/2/c/b/012cbdzfgp212smnrw2oxubvz.contents | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от Онаним (?), 11-Май-19, 13:39 | ||
Я просто из старых ассемблерщиков, и у меня строка - это не просто набор символов, а набор символов и хранимая/заранее известная длина или вместо неё терминатор в конце, плюс ещё известная заранее кодировка. И файловая система - она, во-первых, не одна, а во-вторых, это не что-то, что "прекрасно делает" всё, что нам заблагорассудится, а сложный код, имеющий свои нюансы и накладывающий свои ограничения. | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
19. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +/– | |
Сообщение от Онаним (?), 11-Май-19, 10:54 | ||
Ну и да, если уж зашли на валидацию - даже самая простейшая (и не менее криворукая) валидация в виде проверки на /\?*: и \0 в именах файлов здесь нормально зайдёт. : потому, что иначе огребёте проблем под виндой. | ||
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору |
29. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +/– | |
Сообщение от Аноним (29), 11-Май-19, 12:58 | ||
А ты знаешь список всех функций где доступен этот API? | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | –1 +/– | |
Сообщение от Онаним (?), 11-Май-19, 13:07 | ||
Считаем "с запасом", что везде, где идут обращения к файлам, сокетам, etc. Но дело не в этом. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от Онаним (?), 11-Май-19, 10:59 | ||
Ну и дополню... | ||
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору |
7. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +/– | |
Сообщение от Аноним (7), 11-Май-19, 08:41 | ||
https://github.com/nbs-system/snuffleupagus | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +1 +/– | |
Сообщение от пох (?), 11-Май-19, 10:49 | ||
очередное "щас мы всем покажем как правильно кодить" | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | –2 +/– | |
Сообщение от Онаним (?), 11-Май-19, 09:48 | ||
Хосспаде, долбодятлы. | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. Скрыто модератором | –2 +/– | |
Сообщение от Онаним (?), 11-Май-19, 11:09 | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. Скрыто модератором | –1 +/– | |
Сообщение от Онаним (?), 11-Май-19, 11:11 | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. Скрыто модератором | –1 +/– | |
Сообщение от пох (?), 11-Май-19, 11:31 | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. Скрыто модератором | +/– | |
Сообщение от Онаним (?), 11-Май-19, 12:22 | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. Скрыто модератором | +/– | |
Сообщение от Онаним (?), 11-Май-19, 12:29 | ||
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору |
36. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +/– | |
Сообщение от InuYasha (?), 12-Май-19, 13:06 | ||
Придумают же костылей... pharы какие-то... хорошо что я ПХП уже лет 10 не трогал ) За всё это время, похоже, появилось много новых сущностей, а проблемы так и остались. | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." | +/– | |
Сообщение от Наноним (?), 14-Май-19, 23:24 | ||
Держи в курсе, что ты там еще не трогал | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |