Een security-onderzoeker heeft een ernstig lek in één van de meest populaire PHP libraries voor het maken van PDF-bestanden.
De kwetsbaarheid effecten TCPDF, één van de “grote drie” PHP bibliotheken –samen met mPDF en FPDF– voor het omzetten van HTML-code om PDF-documenten of montage van PDF-bestanden op de vlieg.
Het lek kan worden misbruikt door een aanvaller te bereiken “tot uitvoering van externe code” op websites en web-apps die gebruikmaken van TCPDF bibliotheek, zodat een bedreiging acteur om een kwaadaardige code uitvoeren en mogelijk over te nemen van deze systemen.
De kwetsbaarheid, per se, is eigenlijk een variant van een andere onderzoeker, de ontdekking.
De eerste fout werd gevonden door Secarma onderzoeker Sam Thomas, die in een serie van experimenten toonde een nieuwe deserialisatie bug die van invloed PHP apps in de zomer van 2018. Hij bracht een research paper detaillering PHP serialisatie aanvallen tegen de WordPress en Typo3 CMS platformen, maar ook de TCPDF bibliotheek ingesloten in het Visuallightbox CMS.
Hoe de nieuwe TCPDF aanval werkt
In een blog gepubliceerd over het weekend, een italiaanse security-onderzoeker die online gaat als Polict bleek een nieuwe PHP-serialisatie fout van invloed TCPDF op dezelfde manier als de één ontdekt door Thomas van vorig jaar.
Polict zegt de kwetsbaarheid hij gevonden kan worden benut op twee manieren. Het eerste geval is op websites die het mogelijk maken op invoer van de gebruiker om een deel van het PDF-bestand generatie proces, zoals bij het toevoegen van namen of andere gegevens binnen de facturen.
De tweede is op websites met cross-site scripting (XSS) kwetsbaarheden waar een aanvaller kan de plant schadelijke code in de HTML broncode die zal worden ingevoerd om de TCPDF bibliotheek om te zetten naar een PDF.
De truc is om het aanbod onjuiste gegevens naar de TCPDF bibliotheek. Deze gegevens worden zodanig aangepast te dwingen TCPDF bibliotheek te bellen met de PHP server “phar://” stream wrapper, en later misbruik maken van de PHP deserialisatie proces om code uit te voeren op de onderliggende server.
Het is een zeer complexe aanval routine, en het vereist geavanceerde PHP codering kennis te exploiteren. Deserialisatie-exploits, in het algemeen, zijn moeilijk te ontdekken en ze de vloek van vele programmeer talen, zoals Ruby, Java en .De NETTO –naast PHP.
Fout opgelost in v6.2.20… erm… v6.2.22
De onderzoeker zegt hij melding van de kwetsbaarheid (CVE-2018-17057) naar de TCPDF bibliotheek auteur van afgelopen augustus. Het TCPDF team TCPDF 6.2.20 in September om het probleem te verhelpen.
Echter, moeten de gebruikers de update naar minimaal versie 6.2.22 omdat het TCPDF team per ongeluk re-introductie van de kwetsbaarheid gemeld door Sam Thomas tijdens een poging om de patch gerapporteerd door Polict. Beide problemen werden geacht opgelost in versie 6.2.22.
De italiaanse security-onderzoeker gepubliceerd details over deze kwetsbaarheid alleen vandaag, zes maanden na de patch, want van de fout de ernst en om de website en web app-gebruikers genoeg tijd om de patch.
Het TCPDF bibliotheek is een van de meest populaire PHP bibliotheken en is gebruikt over de plaats-in stand-alone websites, content management systemen (Cms), CMS plugins, CMS thema ‘ s, enterprise intranet, Crm, HRMs, facturatie oplossingen, veel PDF-centered web apps, en anderen.
Patchen is niet zo eenvoudig als het klinkt. In sommige gevallen kan dit betekenen het vervangen van een bestand en bewerken voor het bouwen van instructie, maar in andere plaatsen, is dit wellicht het herschrijven van grote lappen code.
Verwante zekerheid:
Microsoft brengt de Toepassing Guard extensie voor Chrome en FirefoxGoogle open-source project voor ‘sandboxing’ – C/C++ – bibliotheken op LinuxMicrosoft op te lossen ‘roman bug klasse’ ontdekt door Google engineerAndroid Q om een ton van nieuwe privacy featuresEU websites van de overheid besmet met derden adtech scriptsIs het nog steeds een goed idee om te publiceren proof-of-concept code voor nul-dagen?
Slack ‘ s nieuwe enterprise-grade security tool kunt u toevoegen encryptie sleutels TechRepublicAmazon de Rekognition software kunt cops spoor gezichten CNET
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters