l
在内部渗透测试中,发现了LDAP客户经理(LAM)中未经验证的任意对象实例化漏洞。
LAM是通过Web Frobeplay体育能用吗ntend在LDAP目录中管理用户,组或DHCP设置等条目的PHP Web应用程序,并且是Freeipa的替代方案之一。它包含在Debian存储库中。
但研究人员Arseniy Sharoglazov发现的脆弱性可以允许攻击者在一个请求中创建任意对象并实现远程代码执行(RCE),而没有任何带外连接。
正在建设中
该技术取决于利用构造新$ a($ b),带有变量$ a代表将为对象创建对象的类名称和变量$ b表示第一个论点要传递给对象的构造函数。
“当您使用任何编程语言进行编码时,您可以使用好或坏编程实践。建筑新的使用$ a($ b)实例化任意物体,是一个不好的做法,如果$ a和$ b来自非控制输入。” Sharoglazov告诉每日swbeplay2018官网ig。
“这是一个狡猾的结构。但是,没有人表明它真的很危险,所以有些人认为一切都应该好起来。”
他说,尽管该技术需要Imagick扩展,但这通常存在于较大的网站中,包括LAM系统本身。beplay体育能用吗
Sharoglazov说,类似的任意对象实例化漏洞已经存在了一段时间,但通常没有报道。
“例如,您可能会读到SSRF在商业软件中。如果您知道POC,则会发现它实际上是一种任意对象实例化,例如,使用Soapclient类的使用。但是对于公众来说,这将只是SSRF。”他说。
“或者您可能会读到SQL注入。但这实际上是通过具有SQL注入的用户定义类利用的任意对象实例化。我发现和描述的这项技术显示了如何直接将任意对象实例化到RCE。”
协调的披露
Sharoglazov说,披露过程迅速有效。他首先报道了6月16日的缺陷,LAM 8.0.1。6月29日发行,Debian包裹于7月5日更新,并于7月14日公开披露。
他说:“我写信给林的开发商罗兰·格鲁伯(Roland Gruber),仅在一个小时内就得到了初步答复。”
“我们讨论了要解决漏洞的需要做的事情,以及使LAM更加安全的硬化过程。之后,我们与他和Debian进行了协调的披露。”
