Un ricercatore di sicurezza, ha scoperto una grave falla di sicurezza in uno dei più popolari su internet, librerie PHP per la creazione di file PDF.
La vulnerabilità, impatti TCPDF, uno dei “tre grandi” librerie PHP-insieme con mPDF e FPDF– per la conversione di codice HTML to PDF docs o di assemblaggio di file PDF al volo.
La falla di sicurezza possono essere sfruttate da un utente malintenzionato di ottenere “l’esecuzione di codice remoto” su siti web e applicazioni web che utilizzano il TCPDF libreria, permettendo una minaccia attore di eseguire codice dannoso e potenzialmente assumere questi sistemi.
La vulnerabilità, di per sé, è in realtà una variazione di un altro ricercatore scoperta.
Il difetto iniziale è stato trovato da Secarma ricercatore Sam Thomas, che in una serie di esperimenti ha presentato una nuova deserializzazione bug che interessano le applicazioni PHP che durante l’estate del 2018. Ha pubblicato un documento di ricerca dettagli di serializzazione PHP attacchi contro di WordPress e CMS Typo3 piattaforme, ma anche TCPDF library embedded all’interno del Contao CMS.
Come il nuovo TCPDF attacco funziona
In un blog post pubblicati durante il fine settimana, un italiano, ricercatore di sicurezza che va online come Polict ha rivelato una nuova serializzazione PHP difetto di impatto TCPDF nello stesso modo come quello scoperto da Thomas lo scorso anno.
Polict dice la vulnerabilità ha trovato può essere sfruttata in due modi. Il primo caso è su siti web che permettono l’input dell’utente da parte del file PDF del processo di generazione, come quando si aggiungono i nomi o altri dettagli all’interno di fatture.
La seconda è sui siti web che contengono il cross-site scripting (XSS) vulnerabilità in cui un utente malintenzionato può codice dannoso all’interno del codice sorgente HTML che sarà alimentata per TCPDF libreria per convertire in un file PDF.
Il trucco è quello di fornire dati non TCPDF biblioteca. Questi dati vengono modificati in modo tale da forzare il TCPDF biblioteca per chiamare il server PHP “phar://” flusso wrapper, e successive abuso PHP processo la deserializzazione di eseguire del codice sul server sottostante.
È un complesso di attacco di routine, e richiede avanzata di PHP conoscenza di programmazione di sfruttare. La deserializzazione exploit, in generale, sono difficili da scoprire e sono la rovina di molti linguaggi di programmazione, tra cui Ruby, Java, ed .NET –oltre a PHP.
Difetto risolto in v6.2.20… ehm… v6.2.22
Il ricercatore dice di aver segnalato la vulnerabilità (CVE-2018-17057) per TCPDF biblioteca autore lo scorso mese di agosto. Il TCPDF team rilasciato TCPDF 6.2.20 in settembre, per affrontare il problema.
Tuttavia, gli utenti dovrebbero aggiornare almeno alla versione 6.2.22 perché TCPDF team accidentalmente re-introdotto la vulnerabilità riportato da Sam Thomas durante il tentativo di patch a quello riportato da Polict. Entrambe le questioni sono state ritenute risolto nella versione 6.2.22.
Italiano ricercatore di sicurezza ha pubblicato i dettagli su questa vulnerabilità, solo oggi, sei mesi dopo la patch, a causa del bug di pericolosità e a consentire sito web e web app proprietari abbastanza tempo per la patch.
Il TCPDF biblioteca è oggi uno dei più popolari librerie PHP ed è stato utilizzato in tutto il luogo-nella versione autonoma di siti web, sistemi di gestione dei contenuti (Cms), CMS plugin per CMS temi, intranet enterprise, Crm, HRMs, fatturazione soluzioni, molti PDF-centrato applicazioni web, e altri.
Patch non è così facile come sembra. In alcuni casi, questo potrebbe significare la sostituzione di un file e la modifica di una generazione di istruzione, ma anche in altri luoghi, questo potrebbe richiedere la riscrittura di grandi quantità di codice.
Relative la copertura di sicurezza:
Microsoft rilascia l’Applicazione Guardia di estensione per Chrome e FirefoxGoogle open-sources progetto per il sandboxing delle librerie C/C++ su LinuxMicrosoft per risolvere romanzo di bug classe’ scoperto da Google engineerAndroid Q per ottenere una tonnellata di nuovi privacy featuresEU siti web del governo, infestato di terze parti adtech scriptsIs ‘ ancora una buona idea pubblicare proof-of-concept-codice a zero-giorni?
Slack, enterprise-grade strumento di sicurezza che consente di aggiungere chiavi di crittografia TechRepublicAmazon del Rekognition software consente di poliziotti traccia facce CNET
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati