Исходное сообщение
"Уязвимость в движке для создания форумов phpBB" Отправлено opennews, 21-Ноя-18 09:51
В популярном свободном движке для создания форумов phpBB (https://www.phpbb.com/) выявлена уязвимость (https://blog.ripstech.com/2018/phpbb3-phar-deserialization-t.../) (CVE-2018-19274 (https://security-tracker.debian.org/tracker/CVE-2018-19274)), позволяющая выполнить PHP-код на сервере и получить контроль за всей инфраструктурой форумов, имея полномочия  администратора одного из форумов. Проблема устранена в выпуске phpBB 3.2.4 (https://www.phpbb.com/community/viewtopic.php?f=14&t=2492206). Уязвимость вызвана отсутствием проверки поступающих от пользователя данных, перед их использованием в функции file_exists(). Данная особенность позволяет применить для эксплуатации технику "Phar deserialization (https://blog.ripstech.com/2018/new-php-exploitation-technique/)", манипулирующую автоматической десериализацией метаданных при обработке файлов Phar (PHP Archive). Атакующий может задать в панели управления абсолютный путь к исполняемому файлу с редактором изображений (ImageMagic). Перед применением новой настройки данный путь без проверки будет обработан функцией file_exists(), которая в случае указания URI "phar://" обработает метаданные в указанном файле. Указав вместо редактора изображений ссылку на загруженный атакующим phar-файл можно осуществить подстановку нового объекта, выполняемого в контексте всего приложения. Например можно указать "phar:///var/www/phpBB3/files/evil.jpg", где evil.jpg - загруженный под видом картинки файл в формате phar, который будет разобран невзирая на расширение jpg. Похожая проблема может присутствовать и в других PHP-приложениях, допускающих загрузку на сервер картинок и обработку передаваемых пользователем  файловых путей в таких функциях, как file_exists(), fopen(), file_get_contents() и file(). URL: https://blog.ripstech.com/2018/phpbb3-phar-deserialization-t.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=49641