- Wagner Elias – Think Security First - http://wagnerelias.com -
php, Estefan Esser, e a saga
Posted By Elias Wagner On 9 09America/Denver December, 2008 @ 9:05 am In Security Developer | 3 Comments
No último dia 04/12/2008 Stefan Esser, divulgou um advisory que anunciava uma falha no método ZipArchive::extractTo() do php 5.2.6 [1]. A falha é um Path Traversal e extremamente simples de explorar. Para explorar a falha é necessário que o sistema utilize o método ZipArchive::extractTo() para upload e fazer a descompressão automática (Muitos CMS utilizam isso). Para quem necessita deste recurso o único meio de tratamento é upgrade para versão 2.5.7. Mais detalhes sobre o advisory estão publicadas neste link. [2]
No Domingo 07/12/2008 o mesmo Stefan Esser, fez alguns comentários sobre os backports relacionados a segurança e disse para tomar cuidado com o upgrade, pois o upgrade para a versão 5.2.7 irá quebrar a diretiva de magic_quotes. [3] Qual o problema disto? Acreditem, muitas aplicações dependem única e exclusivamente disto para tratar problemas de SQL Injection e afins.
Já hoje dia 09/12/2008 novamente ele, anunciou um projeto bem interessante que ele vinha trabalhando e disponibilizou a primeira versão para download [4]. O projeto chama ext/usim e permite que você teste o upgrade para versões mais recentes, assim você pode testar se a sua aplicação irá se comportar perfeitamente nesta versão.
Será que até o final da semana ele vai soltar mais uma?
Article printed from Wagner Elias – Think Security First: http://wagnerelias.com
URL to article: http://wagnerelias.com/2008/12/09/php-stefan-esser-e-a-saga/
URLs in this post:
[1] divulgou um advisory que anunciava uma falha no método ZipArchive::extractTo() do php 5.2.6: http://www.suspekt.org/2008/12/05/php-527-and-ziparchiveextractto/
[2] Mais detalhes sobre o advisory estão publicadas neste link.: http://www.sektioneins.de/advisories/SE-2008-06.txt
[3] fez alguns comentários sobre os backports relacionados a segurança e disse para tomar cuidado com o upgrade, pois o upgrade para a versão 5.2.7 irá quebrar a diretiva de magic_quotes.: http://www.suspekt.org/2008/12/07/php-527-beware-magic_quotes_gpc-broken/
[4] um projeto bem interessante que ele vinha trabalhando e disponibilizou a primeira versão para download: http://www.suspekt.org/2008/12/09/extusim-the-php-upgrade-simulator/
[5] : #
Click here to print.
Copyright © 2007 Wagner Elias - Think Security First | BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer. All rights reserved.
3 Comments To "php, Estefan Esser, e a saga"
#1 Comment By Fernando Cima On 9 09America/Denver December, 2008 @ 10:07 am
Se eu entendi direito então você pode escolher entre ficar com a 5.2.6 e estar vulnerável a path traversal, ou fazer upgrande para a 5.2.7 e ficar vulnerável a SQL Injection. Escolha o seu bug!
Além disso, ficaram sentados em cima do bug de path traversal por 6 meses e depois tentaram uma correção “silenciosa” não documentando a correção no changelog. Eu achava que só a Microsoft fazia isso…
#2 Comment By Elias Wagner On 9 09America/Denver December, 2008 @ 10:44 am
Exatamente Cima, por isso eu coloquei todo o desenrolar da coisa….rs…
Você pode escolher entre um bug ou outro, ou usar o método KIWI (Kill It With Iron).
Sinceramente, matar o upload de arquivos zipados me parece o mais racional…
#3 Comment By André Zorzo On 9 09America/Denver December, 2008 @ 12:44 pm
Elias, ontem mesmo foi lançada a 2.5.8 do PHP que corrige este problema da versão 2.5.7, que inclusive foi removida da lista de downloads do site.
Abraço,
André