forum.opennet.ru - "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..." (38)

"Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..."	+/–
Сообщение от opennews (?), 10-Май-19, 22:12
В библиотеке PharStreamWrapper (https://github.com/TYPO3/phar-stream-wrapper), предоставляющей обработчики для защиты от проведения (https://www.opennet.me/opennews/art.shtml?num=49746) атак (https://www.opennet.me/opennews/art.shtml?num=49641) через подстановку файлов в формате "Phar", выявлена уязвимость (https://www.drupal.org/sa-core-2019-007) (CVE-2019-11831 (https://security-tracker.debian.org/tracker/CVE-2019-11831)), позволяющая обойти защиту от десериализации кода через подстановку символов ".." в пути. Например, атакующий может использовать для атаки URL вида "phar:///path/bad.phar/../good.phar". Библиотека разработана создателями CMS TYPO3, но также применяется в проектах Drupal и Joomla, что делает их также подверженными уязвимости. Проблема устранена в выпусках PharStreamWrapper 2.1.1 и 3.1.1 (https://github.com/TYPO3/phar-stream-wrapper/releases). ...Проект Drupal устранил проблему в обновлениях 7.67, 8.6.16 и 8.7.1. В Joomla проблема проявляется начиная с версии 3.9.3 и устранена в выпуске 3.9.6. Для устранения проблемы в TYPO3 требуется обновить библиотеку PharStreamWapper. С практической стороны уязвимость в PharStreamWapper позволяет пользователю Drupal Core, имеющему полномочия администратора тем оформления ('Administer theme'), загрузить вредоносный phar-файл и добиться выполнения размещённого в нём PHP-кода под видом легитимного phar-архива. Напомним, что суть атаки "Phar deserialization" в том, что при проверке загруженных файлов помощи PHP-функции file_exists(), эта функция автоматически выполняет десериализацию метаданных из файлов Phar (PHP Archive) при обработке путей, начинающихся с "phar://". Передача phar-файла возможна под видом картинки, так как функция file_exists() определяет MIME-тип по содержимому, а не по расширению. URL: https://arstechnica.com/information-technology/2019/05/open-.../ Новость: https://www.opennet.me/opennews/art.shtml?num=50665
Ответить \| Правка \| Cообщить модератору

Оглавление

Красиво, Анонимус Суминонус (?), 22:12 , 10-Май-19, (1) +2
Мы написали костыль, чтобы починить дырявый костыль Но новый костыль тоже оказа, Аноним (2), 22:38 , 10-Май-19, (2) +6

Ответ очевиден - нужен ещё один костыль, Аноним (37), 23:18 , 12-Май-19, (37)

Эх, это ж типовой косяк двадцатилетней давности , Michael Shigorin (ok), 23:07 , 10-Май-19, (3)

Михаил, это не та ли CMS, переходить на которую ты постоянно советовал, в коммен, Sluggard (ok), 00:19 , 11-Май-19, (4) +4

Та самая Заметьте, советы обычно были с присказкой вроде вскакивать приходитс, Michael Shigorin (ok), 00:51 , 12-Май-19, (35) +3

Из документации PHP Да и имя функции намекает А тут ВНЕЗАПНО читаемЧто-то тут не, Аноним (5), 06:43 , 11-Май-19, (5) –1

Не так тут PHP , Аноним (6), 08:17 , 11-Май-19, (6) +1
вам в пехепе 4 Ну или максимум - 5 2 который пожалуй и был последним true php , пох (?), 08:45 , 11-Май-19, (8) +2

Ерунду не говорите, создание своего стримвроппера в 4 3 2 появилось , Евгений (??), 08:52 , 11-Май-19, (9)

только вот что-то я не слышал о подобных уязвимостях не то что в 4, а и в ранних, пох (?), 10:38 , 11-Май-19, (15) –1

У меня для вас очень плохие новости уязвимости в glob существовали безотносит, Онаним (?), 11:06 , 11-Май-19, (21)

а вот тут список непотребных символов вполне себе конечен маловероятно появлени, пох (?), 11:25 , 11-Май-19, (24) +1

Вот с чем соглашусь - так это с тем, что вся механика phar - редкостное удолбище, Онаним (?), 13:21 , 11-Май-19, (32) +1

пожалуй что и да - я тут бегло полистал остальные стримы - нигде такой жопищи не, пох (?), 22:24 , 11-Май-19, (34) +1

Вы прочитали неправильно file_exists не определяет mime-тип , Евгений (??), 08:53 , 11-Май-19, (10) +1

то есть написано неправильно, Евгений (??), 08:55 , 11-Май-19, (11) +1

file_exists выполняет вначале код контейнера phar , Заря (?), 09:36 , 11-Май-19, (12) +1

Лучше бы вы не писали, и не показывали свою собственную безграмотность Никакого , Онаним (?), 10:34 , 11-Май-19, (14) +1

но забыли опубликовать Официальные Таблицы Валидных Символов Допустимых для file, пох (?), 10:44 , 11-Май-19, (16) +1

Нет у меня формального критерия отличать ваш файл Я его просто априори переимен, Онаним (?), 10:50 , 11-Май-19, (18) –1

я вам уже демонстрировал, что для моей файловой системы этот файл совершенно вал, пох (?), 11:39 , 11-Май-19, (26)

Можешь называть свою кошку как угодно, поскольку ты даже не увидишь, что на серв, Онаним (?), 13:14 , 11-Май-19, (31) –1
Я просто из старых ассемблерщиков, и у меня строка - это не просто набор символо, Онаним (?), 13:39 , 11-Май-19, (33) +1

Ну и да, если уж зашли на валидацию - даже самая простейшая и не менее криворук, Онаним (?), 10:54 , 11-Май-19, (19)

А ты знаешь список всех функций где доступен этот API , Аноним (29), 12:58 , 11-Май-19, (29)

Считаем с запасом , что везде, где идут обращения к файлам, сокетам, etc Но де, Онаним (?), 13:07 , 11-Май-19, (30) –1

Ну и дополню ДА Мы не можем 100 валидировать имена пользовательских файлов , Онаним (?), 10:59 , 11-Май-19, (20) +1

https github com nbs-system snuffleupagus- Close to zero performance impact- P, Аноним (7), 08:41 , 11-Май-19, (7)

очередное щас мы всем покажем как правильно кодить и пофиг что половина списка , пох (?), 10:49 , 11-Май-19, (17) +1

Хосспаде, долбодятлы Внезапно отсутствие валидации передаваемых имён и передача , Онаним (?), 09:48 , 11-Май-19, (13) –2
Скрыто модератором, Онаним (?), 11:09 , 11-Май-19, (22) –2

Скрыто модератором, Онаним (?), 11:11 , 11-Май-19, (23) –1

Скрыто модератором, пох (?), 11:31 , 11-Май-19, (25) –1

Скрыто модератором, Онаним (?), 12:22 , 11-Май-19, (27)
Скрыто модератором, Онаним (?), 12:29 , 11-Май-19, (28)

Придумают же костылей pharы какие-то хорошо что я ПХП уже лет 10 не трогал, InuYasha (?), 13:06 , 12-Май-19, (36)

Держи в курсе, что ты там еще не трогал, Наноним (?), 23:24 , 14-Май-19, (38)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Анонимус Суминонус (?), 10-Май-19, 22:12 +2 +/–

Красиво

Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 10-Май-19, 22:38 +6 +/–

Мы написали костыль, чтобы починить дырявый костыль. Но новый костыль тоже оказался с дырой…

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

3. Сообщение от Michael Shigorin (ok), 10-Май-19, 23:07 +/–

Эх, это ж типовой косяк двадцатилетней давности...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Sluggard (ok), 11-Май-19, 00:19 +4 +/–

> Библиотека разработана создателями CMS TYPO3
Михаил, это не та ли CMS, переходить на которую ты постоянно советовал, в комментах к новостям об уязвимостях Drupal или WordPress? :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #35

5. Сообщение от Аноним (5), 11-Май-19, 06:43 –1 +/–

Из документации PHP:
> file_exists — Проверяет существование указанного файла или каталога
Да и имя функции намекает.
А тут ВНЕЗАПНО читаем
> функция file_exists() определяет MIME-тип по содержимому
Что-то тут не так)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #8, #10

6. Сообщение от Аноним (6), 11-Май-19, 08:17 +1 +/–

Не так тут PHP.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (7), 11-Май-19, 08:41 +/–

https://github.com/nbs-system/snuffleupagus
- Close to zero performance impact
- Powerful yet simple to write virtual-patching rules
- Killing several classes of vulnerabilities
  * Unserialize-based code execution
  * mail-based code execution
  * Cookie-stealing XSS
  * File-upload based code execution
  * Weak PRNG
  * XXE
- Several hardening features
  * Automatic secure and samesite flag for cookies
  * Bundled set of rules to detect post-compromissions behaviours
  * Global strict mode and type-juggling prevention
  * Whitelisting of stream wrappers
  * Preventing writeable files execution
  * Whitelist/blacklist for eval
  * Enforcing TLS certificate validation when using curl
  * Request dumping capability
- A relatively sane codebase:
  * A comprehensive testsuite
  * Every commit is tested on several distributions
  * An clang-format-enfored code style
  * A comprehensive documentation
  * Usage of coverity

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

8. Сообщение от пох (?), 11-Май-19, 08:45 +2 +/–

вам в пехепе 4. Ну или максимум - 5.2 (который пожалуй и был последним true php)
С тех пор было объявлено что все есть стрим, и "файловые" операции внезапно начали делать странное, если имя файла начиналось на someshit://
Правда, для большинства этого шита доступны только самые примитивные операции, да еще и требуются явные разрешения или установка extension, а вот phar настолько прекрасен, что косплеит файловую систему целиком и включен из коробки (можно, конечно, выключить, но по неистребимой тяге разработчиков обмазываться всяким дерьмом, работать ничего кроме хеловротов и не будет).
вопрос наличия мозгов у тех кто это придумывал - закрыт еще со времен демарша автора сухосина.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #9, #32

9. Сообщение от Евгений (??), 11-Май-19, 08:52 +/–

Ерунду не говорите, создание своего стримвроппера в 4.3.2 появилось.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #15

10. Сообщение от Евгений (??), 11-Май-19, 08:53 +1 +/–

Вы прочитали неправильно. file_exists не определяет mime-тип.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11

11. Сообщение от Евгений (??), 11-Май-19, 08:55 +1 +/–

то есть написано неправильно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #12

12. Сообщение от Заря (?), 11-Май-19, 09:36 +1 +/–

file_exists выполняет вначале код контейнера phar.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #14

13. Сообщение от Онаним (?), 11-Май-19, 09:48 –2 +/–

Хосспаде, долбодятлы.
Внезапно отсутствие валидации передаваемых имён и передача пользовательских данных в системные вызовы (в данном случае Stream API) без валидации. За эти два греха надо отлучать от доступа к коду навсегда.

Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Онаним (?), 11-Май-19, 10:34 +1 +/–

Лучше бы вы не писали, и не показывали свою собственную безграмотность.
Никакого исполняемого кода в контейнере Phar нет, если конечно криворучки - горе-писатели - не пытаются сделать include из пользовательского контента :D Что в современном хипста-мирке - норма жизни, также, как и eval.
Есть возможность инстанциировать имеющиеся объекты и заполнять их проперти / вызывать десериализатор. Вкупе с автолоудерами и кривыми руками объектописателей (особенно горячих любителей eval, за который надо отлучать от кода пожизненно) это может привести и к выполнению произвольного кода.
Если в file_exists не передавать пользовательский ввод без валидации (префикс phar:// в имени файла должен существовать) - ничего само собой случится не может. Криворучкам 100500 раз говорили, что при использовании пользовательского ввода его надо 100% валидировать, но они так и остаются криворучками.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #16

15. Сообщение от пох (?), 11-Май-19, 10:38 –1 +/–

только вот что-то я не слышал о подобных уязвимостях не то что в 4, а и в ранних 5.
Возможно именно потому, что из коробки ничего не работало, поэтому макаки на эти фичи не полагались, а если даже и включали - ничего кроме банальных read/write даже из приснопамятного rar было недоступно.
кстати, наличие rar при отсутствии tar как бе намекает нам на то, какая операционная система была на столе у горе-разработчиков этого чудо-язычка.
жаль что в ней их поделка не прижилась, поскольку там и с asp все было хорошо (и как-то он не торопился исполнять что ни попадя при попытке проверить существование файла)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #21

16. Сообщение от пох (?), 11-Май-19, 10:44 +1 +/–

> Криворучкам 100500 раз говорили, что при использовании пользовательского ввода его надо 100% валидировать
но забыли опубликовать Официальные Таблицы Валидных Символов Допустимых для file_exists.
я у вас уже сто раз спрашивал - что не так в моем прекрасном файле phar://cat.jpeg и каков ваш _формальный_ критерий отличать такой файл от допустимых к проверке существования.
Пока что я вижу дыру by design, и неудачные камлания на тему "нет, наш язычок прекрасен, валидируйте лучше"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #18, #19, #20

17. Сообщение от пох (?), 11-Май-19, 10:49 +1 +/–

очередное "щас мы всем покажем как правильно кодить"
и пофиг что половина списка ненужного ненужно ломает работающее к чертям, а где не ломает - там была не нужна.
особенно вот это прекрасно:
Enforcing TLS certificate validation when using curl
дайте угадаю - еще и неотключаемая глупость.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

18. Сообщение от Онаним (?), 11-Май-19, 10:50 –1 +/–

Нет у меня формального критерия отличать ваш файл. Я его просто априори переименую в то, что валидно для моей файловой системы, и сохраню так, как мне надо - в нужный шард, каталог, etc. А оригинальное имя запишу в книжечку метаданных.
---
Весь пост совершенно к другому:
Не делающие 100% валидации инпута - обречены иметь совершенно разнородные грабли, впрочем, туда и дорога.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #26

19. Сообщение от Онаним (?), 11-Май-19, 10:54 +/–

Ну и да, если уж зашли на валидацию - даже самая простейшая (и не менее криворукая) валидация в виде проверки на /\?*: и \0 в именах файлов здесь нормально зайдёт. : потому, что иначе огребёте проблем под виндой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #29

20. Сообщение от Онаним (?), 11-Май-19, 10:59 +1 +/–

Ну и дополню...
ДА! Мы не можем 100% валидировать имена пользовательских файлов. Представляете? Никак! Сегодня это ://, вчера ? с *, завтра - ещё что-нибудь.
Золотое правило: не можешь валидировать и доверять - не используй в системных вызовах. Нельзя невалидируемый ввод использовать в таковых. Совсем. Не понимающие этого - обречены иметь дыры каждый день, что и наблюдаем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

21. Сообщение от Онаним (?), 11-Май-19, 11:06 +/–

У меня для вас очень плохие новости: уязвимости в glob() существовали безотносительно языка. Однако их удалённая эксплуатация (без наличия у атакующего каких-либо локальных привилегий в системе) возможна опять же только при передаче невалидированного ввода.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #24

22. Сообщение от Онаним (?), 11-Май-19, 11:09 –2 +/–

Школота опять страдает - какой плохой пых, не защищает школоту от собственных кривых рук, палящих по ногам из ПТРД.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

23. Сообщение от Онаним (?), 11-Май-19, 11:11 –1 +/–

Они бы ещё на голых сях писать попробовали... =8O

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #25

24. Сообщение от пох (?), 11-Май-19, 11:25 +1 +/–

> уязвимости в glob()
а вот тут список непотребных символов вполне себе конечен (маловероятно появление завтра новых или вообще создания их методом подключения плагина), причем явно определен метод экранирования, и, вообще-то, аналогом этой уязвимости была бы передача не невалидированной строки в glob (во многих случаях вполне допустимая), а исполнение кода при передаче неправильной строки - через срыв стека где-нибудь в недрах regex или чем оно там их раскрывает.
что было бы багом реализации, а не by design.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от пох (?), 11-Май-19, 11:31 –1 +/–

> Они бы ещё на голых сях писать попробовали... =8O
я весь внимание - расскажите, как банальным вызовом stat() или _любым_ способом обработанным его значением или побочными эффектами (он целый errno побочно эффектит) выполнить чужой код?
Или балабол?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #27, #28

26. Сообщение от пох (?), 11-Май-19, 11:39 +/–

> Нет у меня формального критерия отличать ваш файл. Я его просто априори
> переименую в то, что валидно для моей файловой системы
я вам уже демонстрировал, что для моей файловой системы этот файл совершенно валиден.
Почему я не могу назвать свою кошку phar:// и какие еще имена запретят альтернативно-одаренные разработчики?
> так, как мне надо - в нужный шард, каталог, etc. А
> оригинальное имя запишу в книжечку метаданных.
то есть будете героически подменять то, что и так прекрасно делает файловая система - наколеночной реализацией, и потом бороться за синхронизацию и последствия ее слета, просто потому что такой вот замысловатый язычок - вместо апи работы с fs подсовывает оверинженеренное нечто.
завтра вам и в апи для метаданных что-нибудь завезут, а чо - прикольно же ж, делая селект из базы сразу же незаметно заполнить пяток объектов. И будете изучать, какие where (например) сегодня годятся, а какие - ни-ни.
кстати, надо бы фичреквест оформить - идея хранить куски кода в базе давно не новая, но вручную делать eval результату селекта - каменный век, окаменелое уг битрикса. Надо вот чтоб само сразу делалось!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #31, #33

27. Сообщение от Онаним (?), 11-Май-19, 12:22 +/–

В glibc очень долго можно было это потенциально сделать вызовом glob() с необработанными данными.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от Онаним (?), 11-Май-19, 12:29 +/–

Ну и да: чужой код не выполняет и PHP Stream API с phar://, представляешь себе?
Он выполняет только имеющийся на стороне сервера код. А все "побочные эффекты" - опять в коде у криворучек.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

29. Сообщение от Аноним (29), 11-Май-19, 12:58 +/–

А ты знаешь список всех функций где доступен этот API?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #30

30. Сообщение от Онаним (?), 11-Май-19, 13:07 –1 +/–

Считаем "с запасом", что везде, где идут обращения к файлам, сокетам, etc. Но дело не в этом.
Понимаешь, я уже 100500 раз писал - мне не нужно знать этот список, у меня однозначно невалидированный пользовательский ввод в вызовы Stream API не может попасть никак, от слова "совсем".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

31. Сообщение от Онаним (?), 11-Май-19, 13:14 –1 +/–

Можешь называть свою кошку как угодно, поскольку ты даже не увидишь, что на сервисе твой файл назвался просто /shards/uploads/0/1/2/c/b/012cbdzfgp212smnrw2oxubvz.contents
И нет - это не подмена действий файловой системы. Это называется "организация хранения пользовательских данных" на базе файловой системы. Впрочем, в рамках единого и один раз разработанного класса "хранения" может использоваться S3, SQL/noSQL блобы, и много чего ещё.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

32. Сообщение от Онаним (?), 11-Май-19, 13:21 +1 +/–

Вот с чем соглашусь - так это с тем, что вся механика phar - редкостное удолбище. Оно по уму эксплицитно должно быть, через mount_phar($alias, $phar_file) например, который бы включал конкретный файл в конкретный путь phar://<alias>/...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #34

33. Сообщение от Онаним (?), 11-Май-19, 13:39 +1 +/–

Я просто из старых ассемблерщиков, и у меня строка - это не просто набор символов, а набор символов и хранимая/заранее известная длина или вместо неё терминатор в конце, плюс ещё известная заранее кодировка. И файловая система - она, во-первых, не одна, а во-вторых, это не что-то, что "прекрасно делает" всё, что нам заблагорассудится, а сложный код, имеющий свои нюансы и накладывающий свои ограничения.
Если делать, как макаки - оно же "прекрасно всё делает" - на винде не сможем в ":". Столкнёмся с лимитами на длину имени файла или уровня вложенности пути в той же винде и не только. Где-то внезапно получим вместо "~" весёлое имя пользователя, под которым наш код запущен. Где-то на экзотике не сможем использовать пробелы или запятые. И т.д., и т.п.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

34. Сообщение от пох (?), 11-Май-19, 22:24 +1 +/–

пожалуй что и да - я тут бегло полистал остальные стримы - нигде такой жопищи нет, если назвать кошку rar:// - абсолютно никакого ущерба окружающим она не нанесет, пока не попытаешься ее распаковать (да и тут это баг в конкретном модуле, а не by design)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от Michael Shigorin (ok), 12-Май-19, 00:51 +3 +/–

>> Библиотека разработана создателями CMS TYPO3
> Михаил, это не та ли CMS, переходить на которую ты постоянно
> советовал, в комментах к новостям об уязвимостях Drupal
> или WordPress? :)
Та самая.  Заметьте, советы обычно были с присказкой вроде "вскакивать приходится раз-два в год, а не каждую неделю".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

36. Сообщение от InuYasha (?), 12-Май-19, 13:06 +/–

Придумают же костылей... pharы какие-то... хорошо что я ПХП уже лет 10 не трогал ) За всё это время, похоже, появилось много новых сущностей, а проблемы так и остались.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

37. Сообщение от Аноним (37), 12-Май-19, 23:18 +/–

Ответ очевиден - нужен ещё один костыль

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

38. Сообщение от Наноним (?), 14-Май-19, 23:24 +/–

Держи в курсе, что ты там еще не трогал

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Анонимус Суминонус (?), 10-Май-19, 22:12	+2 +/–
Красиво
Ответить \| Правка \| Наверх \| Cообщить модератору

2. Сообщение от Аноним (2), 10-Май-19, 22:38	+6 +/–
Мы написали костыль, чтобы починить дырявый костыль. Но новый костыль тоже оказался с дырой…
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #37

3. Сообщение от Michael Shigorin (ok), 10-Май-19, 23:07	+/–
Эх, это ж типовой косяк двадцатилетней давности...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4

4. Сообщение от Sluggard (ok), 11-Май-19, 00:19	+4 +/–
> Библиотека разработана создателями CMS TYPO3 Михаил, это не та ли CMS, переходить на которую ты постоянно советовал, в комментах к новостям об уязвимостях Drupal или WordPress? :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #35

5. Сообщение от Аноним (5), 11-Май-19, 06:43	–1 +/–
Из документации PHP: > file_exists — Проверяет существование указанного файла или каталога Да и имя функции намекает. А тут ВНЕЗАПНО читаем > функция file_exists() определяет MIME-тип по содержимому Что-то тут не так)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6, #8, #10

6. Сообщение от Аноним (6), 11-Май-19, 08:17	+1 +/–
Не так тут PHP.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (7), 11-Май-19, 08:41	+/–
https://github.com/nbs-system/snuffleupagus - Close to zero performance impact - Powerful yet simple to write virtual-patching rules - Killing several classes of vulnerabilities * Unserialize-based code execution * mail-based code execution * Cookie-stealing XSS * File-upload based code execution * Weak PRNG * XXE - Several hardening features * Automatic secure and samesite flag for cookies * Bundled set of rules to detect post-compromissions behaviours * Global strict mode and type-juggling prevention * Whitelisting of stream wrappers * Preventing writeable files execution * Whitelist/blacklist for eval * Enforcing TLS certificate validation when using curl * Request dumping capability - A relatively sane codebase: * A comprehensive testsuite * Every commit is tested on several distributions * An clang-format-enfored code style * A comprehensive documentation * Usage of coverity
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #17

8. Сообщение от пох (?), 11-Май-19, 08:45	+2 +/–
вам в пехепе 4. Ну или максимум - 5.2 (который пожалуй и был последним true php) С тех пор было объявлено что все есть стрим, и "файловые" операции внезапно начали делать странное, если имя файла начиналось на someshit:// Правда, для большинства этого шита доступны только самые примитивные операции, да еще и требуются явные разрешения или установка extension, а вот phar настолько прекрасен, что косплеит файловую систему целиком и включен из коробки (можно, конечно, выключить, но по неистребимой тяге разработчиков обмазываться всяким дерьмом, работать ничего кроме хеловротов и не будет). вопрос наличия мозгов у тех кто это придумывал - закрыт еще со времен демарша автора сухосина.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #9, #32

9. Сообщение от Евгений (??), 11-Май-19, 08:52	+/–
Ерунду не говорите, создание своего стримвроппера в 4.3.2 появилось.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #15

10. Сообщение от Евгений (??), 11-Май-19, 08:53	+1 +/–
Вы прочитали неправильно. file_exists не определяет mime-тип.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #11

11. Сообщение от Евгений (??), 11-Май-19, 08:55	+1 +/–
то есть написано неправильно
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #12

12. Сообщение от Заря (?), 11-Май-19, 09:36	+1 +/–
file_exists выполняет вначале код контейнера phar.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #14

13. Сообщение от Онаним (?), 11-Май-19, 09:48	–2 +/–
Хосспаде, долбодятлы. Внезапно отсутствие валидации передаваемых имён и передача пользовательских данных в системные вызовы (в данном случае Stream API) без валидации. За эти два греха надо отлучать от доступа к коду навсегда.
Ответить \| Правка \| Наверх \| Cообщить модератору

14. Сообщение от Онаним (?), 11-Май-19, 10:34	+1 +/–
Лучше бы вы не писали, и не показывали свою собственную безграмотность. Никакого исполняемого кода в контейнере Phar нет, если конечно криворучки - горе-писатели - не пытаются сделать include из пользовательского контента :D Что в современном хипста-мирке - норма жизни, также, как и eval. Есть возможность инстанциировать имеющиеся объекты и заполнять их проперти / вызывать десериализатор. Вкупе с автолоудерами и кривыми руками объектописателей (особенно горячих любителей eval, за который надо отлучать от кода пожизненно) это может привести и к выполнению произвольного кода. Если в file_exists не передавать пользовательский ввод без валидации (префикс phar:// в имени файла должен существовать) - ничего само собой случится не может. Криворучкам 100500 раз говорили, что при использовании пользовательского ввода его надо 100% валидировать, но они так и остаются криворучками.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #16

15. Сообщение от пох (?), 11-Май-19, 10:38	–1 +/–
только вот что-то я не слышал о подобных уязвимостях не то что в 4, а и в ранних 5. Возможно именно потому, что из коробки ничего не работало, поэтому макаки на эти фичи не полагались, а если даже и включали - ничего кроме банальных read/write даже из приснопамятного rar было недоступно. кстати, наличие rar при отсутствии tar как бе намекает нам на то, какая операционная система была на столе у горе-разработчиков этого чудо-язычка. жаль что в ней их поделка не прижилась, поскольку там и с asp все было хорошо (и как-то он не торопился исполнять что ни попадя при попытке проверить существование файла)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #21

16. Сообщение от пох (?), 11-Май-19, 10:44	+1 +/–
> Криворучкам 100500 раз говорили, что при использовании пользовательского ввода его надо 100% валидировать но забыли опубликовать Официальные Таблицы Валидных Символов Допустимых для file_exists. я у вас уже сто раз спрашивал - что не так в моем прекрасном файле phar://cat.jpeg и каков ваш _формальный_ критерий отличать такой файл от допустимых к проверке существования. Пока что я вижу дыру by design, и неудачные камлания на тему "нет, наш язычок прекрасен, валидируйте лучше"
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #18, #19, #20

17. Сообщение от пох (?), 11-Май-19, 10:49	+1 +/–
очередное "щас мы всем покажем как правильно кодить" и пофиг что половина списка ненужного ненужно ломает работающее к чертям, а где не ломает - там была не нужна. особенно вот это прекрасно: Enforcing TLS certificate validation when using curl дайте угадаю - еще и неотключаемая глупость.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

18. Сообщение от Онаним (?), 11-Май-19, 10:50	–1 +/–
Нет у меня формального критерия отличать ваш файл. Я его просто априори переименую в то, что валидно для моей файловой системы, и сохраню так, как мне надо - в нужный шард, каталог, etc. А оригинальное имя запишу в книжечку метаданных. --- Весь пост совершенно к другому: Не делающие 100% валидации инпута - обречены иметь совершенно разнородные грабли, впрочем, туда и дорога.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #26

19. Сообщение от Онаним (?), 11-Май-19, 10:54	+/–
Ну и да, если уж зашли на валидацию - даже самая простейшая (и не менее криворукая) валидация в виде проверки на /\?*: и \0 в именах файлов здесь нормально зайдёт. : потому, что иначе огребёте проблем под виндой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #29

20. Сообщение от Онаним (?), 11-Май-19, 10:59	+1 +/–
Ну и дополню... ДА! Мы не можем 100% валидировать имена пользовательских файлов. Представляете? Никак! Сегодня это ://, вчера ? с *, завтра - ещё что-нибудь. Золотое правило: не можешь валидировать и доверять - не используй в системных вызовах. Нельзя невалидируемый ввод использовать в таковых. Совсем. Не понимающие этого - обречены иметь дыры каждый день, что и наблюдаем.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

21. Сообщение от Онаним (?), 11-Май-19, 11:06	+/–
У меня для вас очень плохие новости: уязвимости в glob() существовали безотносительно языка. Однако их удалённая эксплуатация (без наличия у атакующего каких-либо локальных привилегий в системе) возможна опять же только при передаче невалидированного ввода.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #24

22. Сообщение от Онаним (?), 11-Май-19, 11:09	–2 +/–
Школота опять страдает - какой плохой пых, не защищает школоту от собственных кривых рук, палящих по ногам из ПТРД.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #23

23. Сообщение от Онаним (?), 11-Май-19, 11:11	–1 +/–
Они бы ещё на голых сях писать попробовали... =8O
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #25

24. Сообщение от пох (?), 11-Май-19, 11:25	+1 +/–
> уязвимости в glob() а вот тут список непотребных символов вполне себе конечен (маловероятно появление завтра новых или вообще создания их методом подключения плагина), причем явно определен метод экранирования, и, вообще-то, аналогом этой уязвимости была бы передача не невалидированной строки в glob (во многих случаях вполне допустимая), а исполнение кода при передаче неправильной строки - через срыв стека где-нибудь в недрах regex или чем оно там их раскрывает. что было бы багом реализации, а не by design.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

25. Сообщение от пох (?), 11-Май-19, 11:31	–1 +/–
> Они бы ещё на голых сях писать попробовали... =8O я весь внимание - расскажите, как банальным вызовом stat() или _любым_ способом обработанным его значением или побочными эффектами (он целый errno побочно эффектит) выполнить чужой код? Или балабол?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #27, #28

26. Сообщение от пох (?), 11-Май-19, 11:39	+/–
> Нет у меня формального критерия отличать ваш файл. Я его просто априори > переименую в то, что валидно для моей файловой системы я вам уже демонстрировал, что для моей файловой системы этот файл совершенно валиден. Почему я не могу назвать свою кошку phar:// и какие еще имена запретят альтернативно-одаренные разработчики? > так, как мне надо - в нужный шард, каталог, etc. А > оригинальное имя запишу в книжечку метаданных. то есть будете героически подменять то, что и так прекрасно делает файловая система - наколеночной реализацией, и потом бороться за синхронизацию и последствия ее слета, просто потому что такой вот замысловатый язычок - вместо апи работы с fs подсовывает оверинженеренное нечто. завтра вам и в апи для метаданных что-нибудь завезут, а чо - прикольно же ж, делая селект из базы сразу же незаметно заполнить пяток объектов. И будете изучать, какие where (например) сегодня годятся, а какие - ни-ни. кстати, надо бы фичреквест оформить - идея хранить куски кода в базе давно не новая, но вручную делать eval результату селекта - каменный век, окаменелое уг битрикса. Надо вот чтоб само сразу делалось!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #31, #33

27. Сообщение от Онаним (?), 11-Май-19, 12:22	+/–
В glibc очень долго можно было это потенциально сделать вызовом glob() с необработанными данными.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

28. Сообщение от Онаним (?), 11-Май-19, 12:29	+/–
Ну и да: чужой код не выполняет и PHP Stream API с phar://, представляешь себе? Он выполняет только имеющийся на стороне сервера код. А все "побочные эффекты" - опять в коде у криворучек.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

29. Сообщение от Аноним (29), 11-Май-19, 12:58	+/–
А ты знаешь список всех функций где доступен этот API?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #30

30. Сообщение от Онаним (?), 11-Май-19, 13:07	–1 +/–
Считаем "с запасом", что везде, где идут обращения к файлам, сокетам, etc. Но дело не в этом. Понимаешь, я уже 100500 раз писал - мне не нужно знать этот список, у меня однозначно невалидированный пользовательский ввод в вызовы Stream API не может попасть никак, от слова "совсем".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29