Het PHP Phar deserialisatie beschermingsmechanisme omzeilen
CVE-2019-11831 - CVE Score: 9.8
Bronnen
https://nvd.nist.gov/vuln/detail/CVE-2019-11831#VulnChangeHistorySection
https://threatpost.com/drupal-typo3-joomla-phar-flaw/144526/
https://www.securityweek.com/phar-vulnerabilities-patched-drupal-typo3
Risico’s
Een aanvaller kan het deserialisatie beschermingsmechanisme omzeilen in de PharStreamWrapper door een phar bestand te gebruiken waarin kwaadaardige code zit en directory traversal te gebruiken. Hierna kan de aanvaller kwaadaardige code uitvoeren op de machine.
Beschrijving
PHP ontwikkelaars kunnen Phar (PHP Archive) gebruiken om alle bestanden in hun project in één archief te stoppen en dit archief te distribueren naar de gewenste locatie.
De PharStreamWrapper kan gebruikt worden om code uit te voeren. Er bestaat een beveiligingsmechanisme om te voorkomen dat kwaadaardige code uitgevoerd kan worden, maar dit mechanisme controleert niet op directory traversal zoals phar:///path/bad.phar/../good.phar.
Aanbevolen acties
CERT.be raadt administrators aan om hun product te updaten naar de laatste versie:
- Drupal version 8.7.1
- Drupal version 8.6.16
- Drupal version 7.67
https://www.drupal.org/sa-core-2019-007
- Typo3 version 2.1.1
- Typo3 version 3.1.1
https://typo3.org/article/typo3-956-and-8725-security-releases-published/
- Joomla version 3.9.6