(2)
Ldu ve Seditio'nun tüm sürümlerinin, pfs (my file) ve profile alanından upload edilen image dosyalarına inject edilen php veya javascript kodları ile bazı browser'lar üzerinden bypass edilerek, inject edilen kodları çalıştırmayı mümkün kılan açığa karşı bugüne kadar Ldu ve Seditio için herhangi bir yama çıkarılmamıştı.
Fakat bahse konu edilen açığın php açısından çok tehlikeli durumlara sebep olduğu bir kaç gün önce bir çok dünya genelindeki sitelerde yayınlandı.
Hex editorleri ile .gif dosyasına eklenen bazı karakterler ve eklenen php komutları sayesinde getimagesize() fonksiyonunu bypass ederek ilgili kodu çalıştırmaktadır.
Şuan bu açık tüm .php üzerinden upload özelliği bulunan siteler için geçerlidir.
İlgili çalışmalarım sonucu bu açığa karşı tüm Ldu ve Seditio sürümlerinde çalışabilir yamayı hazırladım.
Sitemi bu açığa karşı nasıl korurum ?
İlgili dosyayı download kısmından indirip sıkıştırılmış dosyayı açın. Klasör içeriğindeki tüm dosyaları;
datas/users/
klasörü içine kopyalayın.
/users/ klasörünün chmod ayarını 755 yapın.
--
Ldu ve Seditio'da 3 farklı upload olayı vardır.
1- avatar upload
2- photo upload
3- my files (pfs.php)
Eğer isterseniz datas/photos/ ve datas/avatars/ klasörleri içinde uygulayabilirsiniz.
İşleyiş nedir ?
.htaccess = bulunduğu klasördeki alttaki dosyalara istekte bulunan istemciyi *.php?*=dosya dosyasına yönlendirir.
jpg.php = istek gelen jpg dosyasını Php server üzerinden sadece image görüntülemesi için çalıştırıyoruz.
gif.php = istek gelen gif dosyasını Php server üzerinden sadece image görüntülemesi için çalıştırıyoruz.
png.php = istek gelen png dosyasını Php server üzerinden sadece image görüntülemesi için çalıştırıyoruz.
bmp.php = istek gelen bmp dosyasını Php server üzerinden sadece application/pdf görüntülemesi için çalıştırıyoruz.
zip.php = istek gelen zip dosyasını Php server üzerinden sadece application/zip görüntülemesi için çalıştırıyoruz.
rar.php = istek gelen rar dosyasını Php server üzerinden sadece application/rar görüntülemesi için çalıştırıyoruz.
pdf.php = istek gelen pdf dosyasını Php server üzerinden sadece application/pdf görüntülemesi için çalıştırıyoruz.
mov.php = istek gelen mov dosyasını Php server üzerinden sadece video/quicktime görüntülemesi için çalıştırıyoruz.
qt.php = istek gelen qt dosyasını Php server üzerinden sadece video/quicktime görüntülemesi için çalıştırıyoruz.
ogg.php = istek gelen ogg dosyasını Php server üzerinden sadece video/quicktime görüntülemesi için çalıştırıyoruz.
avi.php = istek gelen avi dosyasını Php server üzerinden sadece video/x-msvideo görüntülemesi için çalıştırıyoruz.
mpg.php = istek gelen mpg dosyasını Php server üzerinden sadece video/mpeg görüntülemesi için çalıştırıyoruz.
mpeg.php = istek gelen mpeg dosyasını Php server üzerinden sadece video/mpeg görüntülemesi için çalıştırıyoruz.
txt.php = istek gelen txt dosyasını Php server üzerinden sadece text/plain görüntülemesi için çalıştırıyoruz.
mp3.php = istek gelen mp3 dosyasını Php server üzerinden sadece audio/mp3 görüntülemesi için çalıştırıyoruz.
wav.php = istek gelen wav dosyasını Php server üzerinden sadece audio/x-wav görüntülemesi için çalıştırıyoruz.
Böylece upload edilen jpg, jpeg, png, bmp, rar, zip, mov, mpeg, mpg, avi, ogg, qt, txt, mp3, wav, pdf, ve özellikle gif dosyasına inject edilen php xss ve ayrıca getimagesize() fonksiyonunu bypass ederek kötü kod çalıştırılmasını önlemiş oluyoruz.
(uzantılar referansı system/config.extensions.php dosyasından alınmıştır)
Notlar
- Bu yama sadece Ldu ve Seditio için değil, upload özelliği bulunan tüm php scriptleri için geçerlidir.
- Uygulama açısından sadece Apache Server yüklü sunucularda çalışır.
İlgili unlink etiketler
php upload security fix, upload güvenliği, getimagesize bug, gif injection, php upload file bug, php gif bug fix, avatar açığı, image files bug, GIF89A bug, gif header, browser gif, render bug, gd library bug
Uyarı
Bu makale içeriği dvdbil tarafından Seditio-tr.com için yazılmış olup, içeriği değiştirerek kopya oluşturmak, satmak ve kaynak linki belirtmeden kopya oluşturmak yasaktır.
