image

Drupal verhelpt kritieke kwetsbaarheden bij uploaden van bestanden

vrijdag 27 november 2020, 17:19 door Redactie, 9 reacties

De ontwikkelaars van het contentmanagementsysteem (cms) Drupal hebben beveiligingsupdates uitgebracht voor twee kwetsbaarheden die aanvallers de mogelijkheid geven om websites over te nemen. Dat meldt het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA).

De twee beveiligingslekken zijn aanwezig in de PEAR Archive_Tar-library waar Drupal gebruik van maakt voor het verwerken van tar-bestanden. De kwetsbaarheden zorgen ervoor dat een aanvaller bij Drupal-sites waar het uploaden van .tar-, .tar.gz-, .bz2- of .tlz-bestanden is toegestaan willekeurige code kan uitvoeren. Drupal heeft versies 7.75, 8.8.12, 8.9.10 en 9.0.9 uitgebracht om de problemen te verhelpen. Daarnaast kunnen aanvallen worden voorkomen door gebruikers de eerder genoemde bestandstypes niet te laten uploaden.

Reacties (9)
27-11-2020, 17:57 door Anoniem
Het is een probleem van PHP-upload, en een verkeerde malicious-file-detectie implementatie in Drupal.
27-11-2020, 21:38 door Anoniem
Wrak PHP het blijft een pitfall.
luntrus
28-11-2020, 09:23 door soeperees
Door Anoniem: Wrak PHP het blijft een pitfall.
Oh, dus daar komt het door? Ik denk dat ze bij Drupal erg dankbaar zijn voor je opbouwende commentaar.
29-11-2020, 12:34 door Anoniem
Door Anoniem: Het is een probleem van PHP-upload, en een verkeerde malicious-file-detectie implementatie in Drupal.
Dat eerste is onzin, de tweede klopt wel.
Want alles waar je kan up/downloaden is kwetsbaar en heeft niks met de taal te maken.
29-11-2020, 18:25 door Anoniem
Het is toch vooraleerst een op PHP gebaseerd CMS, dat Drupal, net als Magenta en Word Press.
En er bestaat toch zeker zoiets als weak PHP, dat soms te benaderen is?

De kernel software is meestal nog al goed bijgehouden en veilig, maar bij thema's en plug-ins is dat niet altijd het geval.
Ook is elk CMS afhankelijk van goede settings en regelmatig updaten en patchen. Een open deur in feite.

Niet elke amateur web admin is security aware en niet elke site-developer security savvy genoeg.'

Vaak gaat men daarbij eerder voor de gelikte website en is security een sluitpost op de begroting,

Want die het kunnen weten doen er niet toe en die er geen weet van hebben nemen de beslissingen doorgaans.
Dat is vaak het hele euvel, maar men hoeft het uiteraard niet met me eens te zijn.

luntrus
30-11-2020, 10:46 door Krakatau - Bijgewerkt: 30-11-2020, 10:47
Door soeperees:
Door Anoniem: Wrak PHP het blijft een pitfall.
Oh, dus daar komt het door? Ik denk dat ze bij Drupal erg dankbaar zijn voor je opbouwende commentaar.

Personal Home Page kan je niet kwalificeren als een professionele basis voor je software. Dat is simpelweg een feit. Dat men bij Drupal probeert om er tegen de klippen op gaande tóch nog wat van te maken én dat het een van de betere, zo niet beste pogingen is, dat staat buiten kijf. Maar men zou meer moeten beseffen dat je op een basis van drijfzand niet kan bouwen.
30-11-2020, 12:28 door Anoniem
Door Krakatau:
Door soeperees:
Door Anoniem: Wrak PHP het blijft een pitfall.
Oh, dus daar komt het door? Ik denk dat ze bij Drupal erg dankbaar zijn voor je opbouwende commentaar.

Personal Home Page kan je niet kwalificeren als een professionele basis voor je software. Dat is simpelweg een feit. Dat men bij Drupal probeert om er tegen de klippen op gaande tóch nog wat van te maken én dat het een van de betere, zo niet beste pogingen is, dat staat buiten kijf. Maar men zou meer moeten beseffen dat je op een basis van drijfzand niet kan bouwen.

Het heet al heel lang geen Personal HomePage meer. Als je beargumenteerd vanuit kennis wat dus al meer dan 10 jaar oud is. Kun je beter gewoon geen mening meer geven.

Wat is C++ ook een amateur taal man, al die bufferoverflows. Op die basis van drijfzand kun je toch niet bouwen. Dit is precies hoe het klinkt als iemand zegt dat PHP onveilig is met kennis van 10 jaar terug.
30-11-2020, 12:54 door Anoniem
Door Anoniem: Het is toch vooraleerst een op PHP gebaseerd CMS, dat Drupal, net als Magenta en Word Press.
En er bestaat toch zeker zoiets als weak PHP, dat soms te benaderen is?

De kernel software is meestal nog al goed bijgehouden en veilig, maar bij thema's en plug-ins is dat niet altijd het geval.
Ook is elk CMS afhankelijk van goede settings en regelmatig updaten en patchen. Een open deur in feite.

Niet elke amateur web admin is security aware en niet elke site-developer security savvy genoeg.'

Vaak gaat men daarbij eerder voor de gelikte website en is security een sluitpost op de begroting,

Want die het kunnen weten doen er niet toe en die er geen weet van hebben nemen de beslissingen doorgaans.
Dat is vaak het hele euvel, maar men hoeft het uiteraard niet met me eens te zijn.

luntrus
Vwb PHP ben ik het wel met je eens. Tijdje geleden zag de Drupal code er echt veel beter uit dan bv Wordpress. Nu weet ik het niet omdat ik alleen nog maar met een Python web framework werk. Security is echt geen sluitpost hoor. Het probleem is meer dat niet iedere ontwikkelaar security in mind heeft. Ik zou zeggen acceptatie testen zijn meer een sluitpost.
30-11-2020, 16:37 door Anoniem
@ anoniem van 12:28

Kijk eens hier:
PHP, headers - 5.4.45
7.5
CVE-2019-9641
An issue was discovered in the EXIF component in PHP before 7.1.27, 7.2.x before 7.2.16, and 7.3.x before 7.3.3. There is an uninitialized read in exif_process_IFD_in_TIFF.
7.5
CVE-2019-9023
An issue was discovered in PHP before 5.6.40, 7.x before 7.1.26, 7.2.x before 7.2.14, and 7.3.x before 7.3.1. A number of heap-based buffer over-read instances are present in mbstring regular expression functions when supplied with invalid multibyte data. These occur in ext/mbstring/oniguruma/regcomp.c, ext/mbstring/oniguruma/regexec.c, ext/mbstring/oniguruma/regparse.c, ext/mbstring/oniguruma/enc/unicode.c, and ext/mbstring/oniguruma/src/utf32_be.c when a multibyte regular expression pattern contains invalid multibyte sequences.
7.5
CVE-2019-9021
An issue was discovered in PHP before 5.6.40, 7.x before 7.1.26, 7.2.x before 7.2.14, and 7.3.x before 7.3.1. A heap-based buffer over-read in PHAR reading functions in the PHAR extension may allow an attacker to read allocated or unallocated memory past the actual data when trying to parse the file name, a different vulnerability than CVE-2018-20783. This is related to phar_detect_phar_fname_ext in ext/phar/phar.c.
7.5
CVE-2019-9020
An issue was discovered in PHP before 5.6.40, 7.x before 7.1.26, 7.2.x before 7.2.14, and 7.3.x before 7.3.1. Invalid input to the function xmlrpc_decode() can lead to an invalid memory access (heap out of bounds read or read after free). This is related to xml_elem_parse_buf in ext/xmlrpc/libxmlrpc/xml_element.c.
7.5
CVE-2019-6977
gdImageColorMatch in gd_color_match.c in the GD Graphics Library (aka LibGD) 2.2.5, as used in the imagecolormatch function in PHP before 5.6.40, 7.x before 7.1.26, 7.2.x before 7.2.14, and 7.3.x before 7.3.1, has a heap-based buffer overflow. This can be exploited by an attacker who is able to trigger imagecolormatch calls with crafted image data.
6.8
CVE-2015-8994
An issue was discovered in PHP 5.x and 7.x, when the configuration uses apache2handler/mod_php or php-fpm with OpCache enabled. With 5.x after 5.6.28 or 7.x after 7.0.13, the issue is resolved in a non-default configuration with the opcache.validate_permission=1 setting. The vulnerability details are as follows. In PHP SAPIs where PHP interpreters share a common parent process, Zend OpCache creates a shared memory object owned by the common parent during initialization. Child PHP processes inherit the SHM descriptor, using it to cache and retrieve compiled script bytecode ("opcode" in PHP jargon). Cache keys vary depending on configuration, but filename is a central key component, and compiled opcode can generally be run if a script's filename is known or can be guessed. Many common shared-hosting configurations change EUID in child processes to enforce privilege separation among hosted users (for example using mod_ruid2 for the Apache HTTP Server, or php-fpm user settings). In these scenarios, the default Zend OpCache behavior defeats script file permissions by sharing a single SHM cache among all child PHP processes. PHP scripts often contain sensitive information: Think of CMS configurations where reading or running another user's script usually means gaining privileges to the CMS database.
6.8
CVE-2018-10549
An issue was discovered in PHP before 5.6.36, 7.0.x before 7.0.30, 7.1.x before 7.1.17, and 7.2.x before 7.2.5. exif_read_data in ext/exif/exif.c has an out-of-bounds read for crafted JPEG data because exif_iif_add_value mishandles the case of a MakerNote that lacks a final '\0' character.
6.8
CVE-2015-9253
An issue was discovered in PHP 7.3.x before 7.3.0alpha3, 7.2.x before 7.2.8, and before 7.1.20. The php-fpm master process restarts a child process in an endless loop when using program execution functions (e.g., passthru, exec, shell_exec, or system) with a non-blocking STDIN stream, causing this master process to consume 100% of the CPU, and consume disk space with a large volume of error logs, as demonstrated by an attack by a customer of a shared-hosting facility.
6.8
CVE-2018-19520
An issue was discovered in SDCMS 1.6 with PHP 5.x. app/admin/controller/themecontroller.php uses a check_bad function in an attempt to block certain PHP functions such as eval, but does not prevent use of preg_replace 'e' calls, allowing users to execute arbitrary code by leveraging access to admin template management.
6.5
CVE-2017-16642
In PHP before 5.6.32, 7.x before 7.0.25, and 7.1.x before 7.1.11, an error in the date extension's timelib_meridian handling of 'front of' and 'back of' directives could be used by attackers able to supply date strings to leak information from the interpreter, related to ext/date/lib/parse_date.c out-of-bounds reads affecting the php_parse_date function. NOTE: this is a different issue than CVE-2017-11145.
5
CVE-2019-9637
An issue was discovered in PHP before 7.1.27, 7.2.x before 7.2.16, and 7.3.x before 7.3.3. Due to the way rename() across filesystems is implemented, it is possible that file being renamed is briefly available with wrong permissions while the rename is ongoing, thus enabling unauthorized users to access the data.
5
CVE-2019-9024
An issue was discovered in PHP before 5.6.40, 7.x before 7.1.26, 7.2.x before 7.2.14, and 7.3.x before 7.3.1. xmlrpc_decode() can allow a hostile XMLRPC server to cause PHP to read memory outside of allocated areas in base64_decode_xmlrpc in ext/xmlrpc/libxmlrpc/base64.c.
5
CVE-2018-19396
ext/standard/var_unserializer.c in PHP 5.x through 7.1.24 allows attackers to cause a denial of service (application crash) via an unserialize call for the com, dotnet, or variant class.
5
CVE-2019-9639
An issue was discovered in the EXIF component in PHP before 7.1.27, 7.2.x before 7.2.16, and 7.3.x before 7.3.3. There is an uninitialized read in exif_process_IFD_in_MAKERNOTE because of mishandling the data_len variable.
5
CVE-2019-9638
An issue was discovered in the EXIF component in PHP before 7.1.27, 7.2.x before 7.2.16, and 7.3.x before 7.3.3. There is an uninitialized read in exif_process_IFD_in_MAKERNOTE because of mishandling the maker_note->offset relationship to value_len.
5
CVE-2018-15132
An issue was discovered in ext/standard/link_win32.c in PHP before 5.6.37, 7.0.x before 7.0.31, 7.1.x before 7.1.20, and 7.2.x before 7.2.8. The linkinfo function on Windows doesn't implement the open_basedir check. This could be abused to find files on paths outside of the allowed directories.
5
CVE-2018-14883
An issue was discovered in PHP before 5.6.37, 7.0.x before 7.0.31, 7.1.x before 7.1.20, and 7.2.x before 7.2.8. An Integer Overflow leads to a heap-based buffer over-read in exif_thumbnail_extract of exif.c.
5
CVE-2018-20783
In PHP before 5.6.39, 7.x before 7.0.33, 7.1.x before 7.1.25, and 7.2.x before 7.2.13, a buffer over-read in PHAR reading functions may allow an attacker to read allocated or unallocated memory past the actual data when trying to parse a .phar file. This is related to phar_parse_pharfile in ext/phar/phar.c.
5
CVE-2018-19935
ext/imap/php_imap.c in PHP 5.x and 7.x before 7.3.0 allows remote attackers to cause a denial of service (NULL pointer dereference and application crash) via an empty string in the message argument to the imap_mail function.
5
CVE-2018-10546
An issue was discovered in PHP before 5.6.36, 7.0.x before 7.0.30, 7.1.x before 7.1.17, and 7.2.x before 7.2.5. An infinite loop exists in ext/iconv/iconv.c because the iconv stream filter does not reject invalid multibyte sequences.
5
CVE-2018-10548
An issue was discovered in PHP before 5.6.36, 7.0.x before 7.0.30, 7.1.x before 7.1.17, and 7.2.x before 7.2.5. ext/ldap/ldap.c allows remote LDAP servers to cause a denial of service (NULL pointer dereference and application crash) because of mishandling of the ldap_get_dn return value.
5
CVE-2016-7478
Zend/zend_exceptions.c in PHP, possibly 5.x before 5.6.28 and 7.x before 7.0.13, allows remote attackers to cause a denial of service (infinite loop) via a crafted Exception object in serialized data, a related issue to CVE-2015-8876. <a href="http://cwe.mitre.org/data/definitions/835.html">CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop')</a>
5
CVE-2018-19395
ext/standard/var.c in PHP 5.x through 7.1.24 on Windows allows attackers to cause a denial of service (NULL pointer dereference and application crash) because com and com_safearray_proxy return NULL in com_properties_get in ext/com_dotnet/com_handlers.c, as demonstrated by a serialize call on COM("WScript.Shell").
5
CVE-2018-17082
The Apache2 component in PHP before 5.6.38, 7.0.x before 7.0.32, 7.1.x before 7.1.22, and 7.2.x before 7.2.10 allows XSS via the body of a "Transfer-Encoding: chunked" request, because the bucket brigade is mishandled in the php_handler function in sapi/apache2handler/sapi_apache2.c.
4.3
CVE-2018-10547
An issue was discovered in ext/phar/phar_object.c in PHP before 5.6.36, 7.0.x before 7.0.30, 7.1.x before 7.1.17, and 7.2.x before 7.2.5. There is Reflected XSS on the PHAR 403 and 404 error pages via request data of a request for a .phar file. NOTE: this vulnerability exists because of an incomplete fix for CVE-2018-5712.
4.3
CVE-2018-10545
An issue was discovered in PHP before 5.6.35, 7.0.x before 7.0.29, 7.1.x before 7.1.16, and 7.2.x before 7.2.4. Dumpable FPM child processes allow bypassing opcache access controls because fpm_unix.c makes a PR_SET_DUMPABLE prctl call, allowing one user (in a multiuser environment) to obtain sensitive information from the process memory of a second user's PHP applications by running gcore on the PID of the PHP-FPM worker process.
1.9

Lust je nog een PHP-peul?

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.