UN nouvelle version de la bibliothèque dompdf que des correctifs contre la vulnérabilité ont été publiés le 24 mars.
Une bibliothèque logicielle populaire pour le rendu de PDF à partir de documents HTML souffre d’une vulnérabilité non corrigée qui pose un risque d’exécution de code à distance (RCE), affirment des chercheurs en sécurité.
Des failles dans la bibliothèque dompdf ont été découvertes par le cabinet de conseil en sécurité allemand Positive Security lors de l’audit du site Web d’un client.
Bien qu’il reste non corrigé même dans la dernière version de dompdf (v1.2.0), la vulnérabilité peut être résolue en s’assurant que le logiciel ne se trouve pas dans un répertoire accessible sur le Web.
De plus, il est conseillé de nettoyer les entrées fournies par l’utilisateur pour les installations dompdf, au moins en attendant la publication d’une mise à jour de sécurité. Les mesures d’atténuation suggérées sont décrites plus en détail dans un Publier par les développeurs de dompdf.
Problème de communication
Bien que Positive Security ait contacté les développeurs de dompdf peu de temps après la découverte de la vulnérabilité en octobre dernier, l’e-mail de divulgation n’a pas été vu par le responsable du projet, Brian Sweeney, car le message a été incorrectement classé comme spam.
En réponse aux questions de La gorgée quotidienneSweeney a répondu rapidement pour déclarer qu’il était d’accord avec les principales conclusions de Positive Security.
Tenez-vous au courant des dernières nouvelles sur la recherche en sécurité
« Après avoir examiné les détails de la vulnérabilité, la prochaine version (1.2.1) inclura un correctif », a déclaré Sweeney au Daily Swig. « Je ne peux toujours pas fournir de calendrier pour cette sortie, même si je m’attends à ce qu’elle soit dans les prochaines semaines. »
« Je peux confirmer que la vulnérabilité signalée est valide et n’est pas corrigée pour le moment. »
« Positive Security a fait un excellent travail avec ses recherches », a conclu Sweeney.
Du point de vue d’un utilisateur de dompdf, il est utile de connaître les risques de sécurité connus et les solutions de contournement possibles. Positive Security a donc décidé de rendre public les détails de la vulnérabilité mercredi 16 mars ¬– même en l’absence de correctif.
Dans un article de blog techniquePositive Security explique en quoi le logiciel est vulnérable car il
Autorisé les attaquants potentiels à télécharger des fichiers de police avec une extension .php sur le serveur Web.
En raison de cette lacune de sécurité, un problème de script intersite (XSS) réfléchi peut être utilisé de manière abusive pour naviguer vers un script .php téléchargé, offrant ainsi aux attaquants potentiels un moyen d’exécuter du code sur des systèmes vulnérables.
Billet pour rouler
Dompdf est une bibliothèque PHP open source populaire utilisée pour rendre le code HTML au format PDF. Les applications incluent les achats de billets, les reçus/factures, une variété d’e-mails automatisés, les certificats de test Covid-19, et plus encore.
Selon Fabian Bräunlein de Positive Security, le logiciel compte 8 600 étoiles, 1 600 fourches et 59 200 référentiels dépendants – des métriques qui en font la bibliothèque de génération PHP vers PDF la plus utilisée.
« Si les conditions préalables sont remplies, l’exploitation est assez facile », a déclaré Bräunlein. La gorgée quotidienne.
Bräunlein a expliqué que l’exploitation suivrait un processus en trois parties :
- Servir le fichier CSS et la police PHP malveillants sur Internet
- Déclenchez le téléchargement de la police PHP en incluant le CSS externe lors de la génération du PDF
- Accéder au fichier .php téléchargé pour déclencher l’exécution de code arbitraire sur le serveur
Lors d’un engagement client, Positive Security a utilisé avec succès la vulnérabilité pour obtenir l’exécution de code arbitraire sur le système de notre client.
Bräunlein a déclaré que les problèmes de sécurité avec dompdf offrent des leçons de développement sécurisées pour d’autres développeurs de logiciels.
« Une vulnérabilité comme celle qui existe actuellement dans dompdf peut se produire assez facilement dans cette intersection de différentes technologies (PHP, PDF, HTML, CSS, polices, fichiers locaux et distants) », a déclaré Bräunlein.
« En tant que mécanisme de défense en profondeur, il peut donc être judicieux d’exécuter la génération de PDF aussi isolée que possible des autres composants du système. »
TU POURRAIS AUSSI AIMER Les plugins non corrigés menacent des millions de sites Web WordPress
