www.belgium.be Logo of the federal government

Het PHP Phar deserialisatie beschermingsmechanisme omzeilen

Referentie: 
Advisory #2019-012
Versie: 
1.0
Geïmpacteerde software: 
Drupal 8.7 < 8.7.1
Drupal 8.6 < 8.6.16
Drupal 7 < 7.67
Typo3 2 < 2.1.1
Typo3 3 < 3.1.1
Joomla < 3.9.3 - 3.9.5
Type: 
Arbitrary code execution
CVE/CVSS: 

CVE-2019-11831 - CVE Score: 9.8

Bronnen

https://nvd.nist.gov/vuln/detail/CVE-2019-11831#VulnChangeHistorySection
https://threatpost.com/drupal-typo3-joomla-phar-flaw/144526/
https://www.securityweek.com/phar-vulnerabilities-patched-drupal-typo3

Risico’s

Een aanvaller kan het deserialisatie beschermingsmechanisme omzeilen in de PharStreamWrapper door een phar bestand te gebruiken waarin kwaadaardige code zit en directory traversal te gebruiken. Hierna kan de aanvaller kwaadaardige code uitvoeren op de machine.

Beschrijving

PHP ontwikkelaars kunnen Phar (PHP Archive) gebruiken om alle bestanden in hun project in één archief te stoppen en dit archief te distribueren naar de gewenste locatie.

De PharStreamWrapper kan gebruikt worden om code uit te voeren. Er bestaat een beveiligingsmechanisme om te voorkomen dat kwaadaardige code uitgevoerd kan worden, maar dit mechanisme controleert niet op directory traversal zoals phar:///path/bad.phar/../good.phar.

Aanbevolen acties

CERT.be raadt administrators aan om hun product te updaten naar de laatste versie:

  • Drupal version 8.7.1
  • Drupal version 8.6.16
  • Drupal version 7.67

https://www.drupal.org/sa-core-2019-007

  • Typo3 version 2.1.1
  • Typo3 version 3.1.1

https://typo3.org/article/typo3-956-and-8725-security-releases-published/

  • Joomla version 3.9.6

https://developer.joomla.org/security-centre/781-%2020190502-core-by-passing-protection-of-phar-stream-wrapper-interceptor.html