本港台开奖现场结果
在流行的PHP库中发现用于创建PDF文件的严重安全缺陷
发布日期:2019-11-18 20:53   来源:未知   阅读:

· 是很多问题无法顺利解决的原因之一。香港马会现场开奖。一位安全研究人员发现了一个严重的安全漏洞,这是互联网上最受欢迎的PHP库之一,用于创建PDF文件。

该漏洞影响TCPDF,TCPDF是“三大”PHP库之一--与mPDF和FPDF一起--用于将HTML代码转换为PDF文档或动态组装PDF文件。

攻击者可利用此安全漏洞在使用TCPDF库的网站和Web应用程序上实现“远程代码执行”,从而允许威胁参与者运行恶意代码并可能接管这些系统。

Secarma研究员萨姆·托马斯(SamThomas)发现了最初的缺陷,他在一系列实验中展示了2018年夏季影响PHP应用程序的一个新反序列化错误。他发表了一篇研究论文,详细描述了PHP对WordPress和Typo3CMS平台的序列化攻击,同时也介绍了嵌入在ContaoCMS中的TCPDF库。

上周末发表的一篇博客文章中,一位意大利安全研究人员在网上发布了一个新的PHP序列化缺陷,它以与去年托马斯发现的方式相同的方式影响了TCPDF。

波克特说,他发现的漏洞可以通过两种方式加以利用。第一种情况是在允许用户输入成为PDF文件生成过程的一部分的网站上,例如在发票中添加姓名或其他细节时。

第二个是包含跨站点脚本(XSS)漏洞的网站,攻击者可以在HTML源代码中植入恶意代码,这些代码将被输入TCPDF库以转换为PDF。

该方法是将格式错误的数据提供给TCPDF库。此数据的修改方式是强制TCPDF库调用PHP服务器的PhaR://////流包装,然后滥用PHP反序列化程序在底层服务器上运行代码。

这是一个非常复杂的攻击例程,它需要高级PHP编码知识来利用。一般来说,反序列化利用很难被发现,而且它们是许多编程语言的祸害,包括Ruby、Java和-除了PHP。

这位研究人员说,他于去年8月向tcpdf图书馆作者报告了该漏洞(CVE-2018-17057)。TCPDF小组于9月发布了TCPDF 6.2.20,以解决这一问题。

但是,用户应该至少更新到6.2.22版本,因为TCPDF团队在试图修补Polict报告的漏洞时意外地重新引入了SamThomas报告的漏洞。这两个问题都在6.2.22版中得到了解决。

这位意大利安全研究员直到今天,也就是补丁发布六个月后才公布了有关该漏洞的详细信息,因为漏洞的严重性,并允许网站和web应用程序所有者有足够的时间进行修补。

TCPDF库是当今最流行的PHP库之一,并且已经在所有地方使用--独立的网站、内容管理系统(CMS)、CMS插件、CMS主题、企业内部网、CRMS、HRMS、发票解决方案、许多以PDF为中心的Web应用程序等等。

修补并不像听起来那么容易。在某些情况下,这可能意味着替换文件和编辑构建指令,但在其他地方,这可能需要重写大量代码。