En säkerhetsforskare har hittat en allvarlig säkerhetsbrist i en av internets mest populära PHP-bibliotek för att skapa PDF-filer.
Sårbarheten påverkar TCPDF, en av de “tre stora” PHP-bibliotek –tillsammans med mPDF och FPDF-för att konvertera HTML-kod till PDF-dokument eller montering av PDF-filer i farten.
Säkerhetsbrist kan utnyttjas av en angripare för att uppnå “fjärrkörning av kod” på webbplatser och appar som använder TCPDF bibliotek, så att ett hot aktör för att köra skadlig kod och potentiellt ta över dessa system.
Sårbarheten, per se, är faktiskt en variant av en annan forskare upptäckt.
Den ursprungliga fel hittades av Secarma forskaren Sam Thomas som i en serie experiment visade upp en ny avserialisering bugg som påverkar PHP apps över sommaren 2018. Han släpptes en forskningsrapport som beskriver PHP serialisering attacker mot WordPress och Typo3 CMS-plattformar, men också TCPDF bibliotek inbäddad inuti Contao CMS.
Hur den nya TCPDF attack fungerar
I ett blogginlägg som publicerades under helgen, en italiensk säkerhet forskare som går ut på nätet som Polict visar en ny PHP-serialisering fel som påverkar TCPDF på samma sätt som en upptäckt av Thomas förra året.
Polict säger den sårbarhet han funnit kan utnyttjas på två sätt. Det första fallet är på webbplatser som tillåter användaren input för att vara en del av PDF-filen generation process, till exempel när du lägger till namn eller andra detaljer inne i fakturor.
Den andra är på webbplatser som innehåller cross-site scripting (XSS) där en angripare kan plantera skadlig kod i HTML-källkoden som kommer att matas till TCPDF bibliotek för att konvertera till PDF.
Tricket är att leverera felaktigt data till TCPDF bibliotek. Denna data ändras på ett sådant sätt att tvinga TCPDF bibliotek för att ringa PHP-server “phar://” stream omslag, och senare missbruk PHP avserialisering process för att köra kod på den underliggande server.
Det är en mycket komplicerad attack rutin, och det kräver avancerad PHP-kodning kunskap att utnyttja. Avserialisering utnyttjar, i allmänhet, är svåra att upptäcka och de är bane av många programmeringsspråk, bland annat Ruby, Java, och .NET –förutom PHP.
Felet fast i v6.2.20… erm… v6.2.22
Forskaren säger han rapporterade sårbarheten (CVE-2018-17057) till TCPDF bibliotek författare i augusti förra året. TCPDF laget släppt TCPDF 6.2.20 i September för att åtgärda problemet.
Användare bör dock uppdatera till minst version 6.2.22 eftersom TCPDF team av misstag på nytt fram den sårbarhet som rapporterats av Sam Thomas samtidigt som man försöker att lappa ett rapporterats av Polict. Båda frågorna anses löst i version 6.2.22.
Den italienska säkerhet forskare publicerade uppgifter om denna sårbarhet bara idag, sex månader efter att den lapp, på grund av felet är svårighetsgrad och för att möjliggöra hemsida och web app-ägarna tillräckligt med tid att lappa.
TCPDF bibliotek är en av dagens mest populära PHP-bibliotek och har använts överallt-i fristående webbplatser, content management system (Cms), CMS plugins, CMS teman, företagets intranät, Crm, HRMs, fakturering lösningar, många PDF-centrerad web apps och andra.
Lapp är inte så lätt som det låter. I vissa fall kan detta innebära att ersätta en fil och redigera en bygga instruktion, men på andra ställen, detta kan kräva att skriva om stora delar av koden.
Relaterade förmåner:
Microsoft släpper Ansökan Vakt tillägg för Chrome och FirefoxGoogle öppna källor för sandbox C/C++ – bibliotek på LinuxMicrosoft att fixa en “ny bugg klass’ upptäckt av Google engineerAndroid Q för att få massor av nya integritet featuresEU offentliga webbplatser infekterad med tredje part adtech scriptsIs det fortfarande en bra idé att publicera proof-of-concept kod för noll-dagar?
Slaka nya enterprise-klass säkerhet verktyg kan du lägga till krypteringsnycklar TechRepublicAmazon är Rekognition programvara kan polisen spåra ansikten CNET
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter