OpenForum RSS: Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru... https://opennet.ru/openforum/vsluhforumID3/117326.html В библиотеке PharStreamWrapper (https://github.com/TYPO3/phar-stream-wrapper), предоставляющей обработчики для защиты от проведения (https://www.opennet.ru/opennews/art.shtml?num=49746) атак (https://www.opennet.ru/opennews/art.shtml?num=49641) через подстановку файлов в формате "Phar", выявлена уязвимость (https://www.drupal.org/sa-core-2019-007) (CVE-2019-11831 (https://security-tracker.debian.org/tracker/CVE-2019-11831)), позволяющая обойти защиту от десериализации кода через подстановку символов ".." в пути. Например, атакующий может использовать для атаки URL вида "phar:///path/bad.phar/../good.phar".<br><br><br>Библиотека разработана создателями CMS TYPO3, но также применяется в проектах Drupal и Joomla, что делает их также подверженными уязвимости. Проблема устранена в выпусках PharStreamWrapper 2.1.1 и 3.1.1 (https://github.com/TYPO3/phar-stream-wrapper/releases). Проект Drupal устранил проблему в обновлениях 7.67, 8.6.16 и 8.7.1. В Joomla проблема проявляется начиная с версии 3.9.3 и устранена в выпуске 3 Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru... (Наноним) https://opennet.ru/openforum/vsluhforumID3/117326.html#38 Tue, 14 May 2019 20:24:23 GMT Держи в курсе, что ты там еще не трогал<br> Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru... (Аноним) https://opennet.ru/openforum/vsluhforumID3/117326.html#37 Sun, 12 May 2019 20:18:22 GMT Ответ очевиден - нужен ещё один костыль<br> Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru... (InuYasha) https://opennet.ru/openforum/vsluhforumID3/117326.html#36 Sun, 12 May 2019 10:06:29 GMT Придумают же костылей... pharы какие-то... хорошо что я ПХП уже лет 10 не трогал ) За всё это время, похоже, появилось много новых сущностей, а проблемы так и остались.<br> Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru... (Michael Shigorin) https://opennet.ru/openforum/vsluhforumID3/117326.html#35 Sat, 11 May 2019 21:51:43 GMT &gt;&gt; Библиотека разработана создателями CMS TYPO3 <br>&gt; Михаил, это не та ли CMS, переходить на которую ты постоянно<br>&gt; советовал, в комментах к новостям об уязвимостях Drupal<br>&gt; или WordPress? :) <br><br>Та самая. Заметьте, советы обычно были с присказкой вроде "вскакивать приходится раз-два в год, а не каждую неделю".<br> Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru... (пох) https://opennet.ru/openforum/vsluhforumID3/117326.html#34 Sat, 11 May 2019 19:24:20 GMT пожалуй что и да - я тут бегло полистал остальные стримы - нигде такой жопищи нет, если назвать кошку rar:// - абсолютно никакого ущерба окружающим она не нанесет, пока не попытаешься ее распаковать (да и тут это баг в конкретном модуле, а не by design)<br><br> Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru... (Онаним) https://opennet.ru/openforum/vsluhforumID3/117326.html#33 Sat, 11 May 2019 10:39:22 GMT Я просто из старых ассемблерщиков, и у меня строка - это не просто набор символов, а набор символов и хранимая/заранее известная длина или вместо неё терминатор в конце, плюс ещё известная заранее кодировка. И файловая система - она, во-первых, не одна, а во-вторых, это не что-то, что "прекрасно делает" всё, что нам заблагорассудится, а сложный код, имеющий свои нюансы и накладывающий свои ограничения.<br><br>Если делать, как макаки - оно же "прекрасно всё делает" - на винде не сможем в ":". Столкнёмся с лимитами на длину имени файла или уровня вложенности пути в той же винде и не только. Где-то внезапно получим вместо "~" весёлое имя пользователя, под которым наш код запущен. Где-то на экзотике не сможем использовать пробелы или запятые. И т.д., и т.п.<br> Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru... (Онаним) https://opennet.ru/openforum/vsluhforumID3/117326.html#32 Sat, 11 May 2019 10:21:00 GMT Вот с чем соглашусь - так это с тем, что вся механика phar - редкостное удолбище. Оно по уму эксплицитно должно быть, через mount_phar($alias, $phar_file) например, который бы включал конкретный файл в конкретный путь phar://&lt;alias&gt;/...<br> Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru... (Онаним) https://opennet.ru/openforum/vsluhforumID3/117326.html#31 Sat, 11 May 2019 10:14:41 GMT Можешь называть свою кошку как угодно, поскольку ты даже не увидишь, что на сервисе твой файл назвался просто /shards/uploads/0/1/2/c/b/012cbdzfgp212smnrw2oxubvz.contents<br><br>И нет - это не подмена действий файловой системы. Это называется "организация хранения пользовательских данных" на базе файловой системы. Впрочем, в рамках единого и один раз разработанного класса "хранения" может использоваться S3, SQL/noSQL блобы, и много чего ещё.<br> Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru... (Онаним) https://opennet.ru/openforum/vsluhforumID3/117326.html#30 Sat, 11 May 2019 10:07:42 GMT Считаем "с запасом", что везде, где идут обращения к файлам, сокетам, etc. Но дело не в этом.<br><br>Понимаешь, я уже 100500 раз писал - мне не нужно знать этот список, у меня однозначно невалидированный пользовательский ввод в вызовы Stream API не может попасть никак, от слова "совсем".<br>