MOPB-21-2007:PHP compress.bzip2:// URL Wrapper safemode and open_basedir Bypass Vulnerability

(Last Updated On: 2018年8月16日)

Stefanさんの承諾を得て日本語訳を公開しています。このブログの「the Month of PHP Bugs」カテゴリでMOPBの翻訳ページを一覧できます。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。

■クレジット
発見者:Stefan Esser
攻撃コード:必要なし

■PoCまたは攻撃コード
必要なし

■リファレンス
なし

■サマリ
bz2拡張モジュールで定義されるbzip2:// URLラッパーはsafe_mode、 open_basedirチェックを全く行っていません。この為、safe_mode、open_basedir制限に関わらずアクセス可能です。

■影響するバージョン
PHP 5.2.1以下

■詳細情報
必要なし

■PoC、攻撃コードまたは再現手順
脆弱性を確認するにはopen_basedir/safe_modeを有効にし、アクセスが許可されていないアーカイブファイルにbzip2:// URLラッパーを使用してアクセスするだけです。

■備考
safe_modeとopen_basedirは、設計上の問題があり、この例のように常にセキュリティホールが発生する機能です。(私たちがロカールな攻撃を示したように)サーバの安全性を維持するためにこれらの設定に「絶対」頼ってはなりません。

投稿者: yohgaki