公司动态

公司动态 行业资讯

钱柜娱乐在流行的PHP库中发现了用于创建PDF文件

  漏洞已于去年打补丁,但许多网站和网络应用程序很可能多年来仍然容易受到攻击。

  一位安全研究人员发现了一个互联网最流行的PHP库中用于创建PDF文件的严重安全漏洞。

  该漏洞影响TCPDF,这是“三大”PHP库之一 - 与mPDF和FPDF一起 - 用于将HTML代码转换为PDF文档或动态组装PDF文件。

  攻击者可以利用安全漏洞在使用TCPDF库的网站和Web应用程序上实现“远程代码执行”,从而允许威胁行为者运行恶意代码并可能接管这些系统。

  最初的缺陷是由Secarma研究员Sam Thomas发现的,他在2018年夏天的一系列实验中展示了影响PHP应用程序的新的反序列化错误。他发布了一篇研究论文,详细介绍了针对WordPress和Typo3 CMS平台的PHP序列化攻击,同时也发布了嵌入在Contao CMS中的TCPDF库。

  在上周末发布的一篇博客文章中,一位意大利安全研究人员在Polict上线时发现了一个新的PHP序列化缺陷,影响了TCPDF的方式与去年Thomas发现的一样。

  Polict说,他发现的漏洞可以通过两种方式加以利用。第一种情况是在允许用户输入成为PDF文件生成过程一部分的网站上,例如在发票内添加名称或其他详细信息时。

  第二个是在包含跨站点脚本(XSS)漏洞的网站上,攻击者可以在HTML源代码中植入恶意代码,这些代码将被提供给TCPDF库以转换为PDF。

  诀窍是向TCPDF库提供格式错误的数据。以这种方式修改此数据以强制TCPDF库调用PHP服务器的“phar://”流包装器,然后滥用PHP反序列化过程在底层服务器上运行代码。

  这是一个非常复杂的攻击例程,它需要高级PHP编码知识才能利用。反过来,反序列化漏洞很难被发现,它们是许多编程语言的祸根,包括Ruby,Java和- 支持PHP。

  但是,用户应至少更新到版本6.2.22,因为TCPDF团队在尝试修补Polict报告的漏洞时不小心重新引入了Sam Thomas报告的漏洞。这两个问题在版本6.2.22中被视为已解决。

  意大利安全研究人员仅在今天,补丁发布六个月后发布了有关此漏洞的详细信息,因为该漏洞的严重性并允许网站和Web应用程序所有者有足够的时间进行修补。

  TCPDF库是当今最受欢迎的PHP库之一,已经被广泛使用 - 在独立的网站,内容管理系统(CMS),CMS插件,CMS主题,企业内部网,CRM,HRM,发票解决方案,许多以PDF为中心的网络应用程序和其他。

  修补并不像听起来那么容易。在某些情况下,这可能意味着替换文件并编辑构建指令,但在其他地方,这可能需要重写大量代码。

  Stadia平台将让您在Google的服务器上玩游戏但可以为您自己的设备提供高质量的视频

  Stadia平台将让您在Google的服务器上玩游戏但可以为您自己的设备提供高质量的视频

  由前Telstra首席执行官David Thodey领导的一项评论表明通用平台将有助于提高澳大利亚公共服务的运营效率

  Stadia平台将让您在Google的服务器上玩游戏但可以为您自己的设备提供高质量的视频

  由前Telstra首席执行官David Thodey领导的一项评论表明通用平台将有助于提高澳大利亚公共服务的运营效率

  该公司在澳大利亚的业务包括非常大的研发和工程重点并且在建立销售业务之前就做得很好

  苹果汽车的传闻仍然在推动 Project Titan表示将专注于电动车和电池研究