En sikkerheds-forsker har fundet alvorlige sikkerhedsmæssige fejl i et af internettets mest populære PHP-biblioteker til at oprette PDF-filer.
Sårbarheden virkninger TCPDF, en af de “tre store” PHP biblioteker –sammen med mPDF og FPDF– til konvertering af HTML-kode til PDF-dokumenter eller samle PDF-filer på farten.
Det sikkerhedshul kan udnyttes af en angriber til at opnå “fjernkørsel af programkode” på websites og web apps, der bruger TCPDF bibliotek, som tillader en trussel skuespiller til at køre skadelig kode og potentielt overtage disse systemer.
Den sårbarhed, per-se-selskabet, er faktisk en variation af en anden forsker ‘ s discovery.
Den første fejl blev fundet ved Secarma forsker Sam Thomas, der i en serie af eksperimenter fremvist en ny deserialization fejl, der påvirker PHP apps over sommeren 2018. Han har udgivet en videnskabelig artikel, der beskriver PHP serialisering angreb mod WordPress og Typo3 CMS-platforme, men også TCPDF bibliotek indlejret inde Page CMS.
Hvordan den nye TCPDF angreb værker
I et blog-indlæg offentliggjort i løbet af weekenden, en italiensk sikkerhedsekspert, der går online, som Polict afsløret en ny PHP-serialisering fejl, der påvirker TCPDF på samme måde som den ene opdaget af Thomas sidste år.
Polict siger den svaghed, fandt han kan udnyttes på to måder. Det første tilfælde er, på hjemmesider, der giver brugeren mulighed for input til at blive en del af PDF-filen generation proces, som når du tilføjer navne eller andre oplysninger inde fakturaer.
Den anden er på websites, der indeholder cross-site scripting (XSS) sikkerhedsrisici, hvor en hacker kan plante skadelig kode i HTML-kildekoden, der vil være fed til TCPDF bibliotek til at konvertere til PDF.
Tricket er at levere forkert udformede data til TCPDF bibliotek. Disse data er ændret på en sådan måde, at tvinge TCPDF bibliotek til at kalde PHP server “phar://” stream indpakning, og senere misbrug PHP deserialization proces til at køre kode på den underliggende server.
Det er et meget komplekst angreb rutine, og det kræver avanceret PHP kodning viden til at udnytte. Deserialization udnytter, i almindelighed, er svært at afdække, og det er den bane af mange programmeringssprog, herunder Ruby, Java, og .NET-udover PHP.
Fejl rettet i v6.2.20… erm… v6.2.22
Forskeren siger han rapporteret sårbarheden (CVE-2018-17057) til TCPDF bibliotek forfatter August sidste år. TCPDF team har udgivet TCPDF 6.2.20 i September for at løse problemet.
Men brugere skal opdatere til mindst version 6.2.22 fordi TCPDF team uheld re-introduceret den sårbarhed, der indberettes af Sam Thomas, mens du forsøger at lappe en rapporteret af Polict. Begge spørgsmål blev anset for løst i version 6.2.22.
Den italienske sikkerhedsekspert offentliggjort oplysninger om denne svaghed kun i dag, seks måneder efter patch, på grund af fejlen alvor og til at give hjemmeside og web app-ejere nok tid til at lappe.
TCPDF bibliotek er en af nutidens mest populære PHP biblioteker og har været brugt over det hele-i enkeltstående websites i content management systemer (cms ‘ er), CMS, plugins, CMS temaer, virksomhedens intranet, Crm, HRMs, fakturering løsninger, mange PDF-centreret web-apps, og andre.
Patching er ikke så nemt, som det lyder. I nogle tilfælde, kan dette betyde, at erstatte en fil og redigering af en bygge undervisningen, men i andre steder, dette kan kræve en omskrivning store skår af kode.
Relaterede sikkerhed dækning:
Microsoft frigiver Ansøgning Vagt udvidelse til Chrome og FirefoxGoogle åbne kilder projekt for sandboxing C/C++ – biblioteker på LinuxMicrosoft at lave en “ny bug klasse’ opdaget af Google engineerAndroid Q for at få et væld af nye privatlivets fred featuresEU offentlige hjemmesider befængt med tredje-part, adtech scriptsIs det stadig en god idé at udgive proof-of-concept kode for nul-dage?
Slap ‘ s nye enterprise-klasse-sikkerhed værktøj lader dig tilføje krypteringsnøgler TechRepublicAmazon er Rekognition software kan politiet spore ansigter CNET
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre