février
2009
Un article de doctorrock
Une faille LFI (Local File Inclusion) a été détectée dans Zend_View. En réalité, elle est la cause d’une variable externe non échappée, mais la sécurité étant en jeu, il a été décidé de corriger cette faille dans ZendFramework 1.7.5.
Cette faille est exploitable avec le code suivant :
$view->setBasePath('/var/www/application/views');
$view->render($_GET['path']);
Une variable path telle que « ../../../../etc/passwd » peut mettre en danger le système.
La correction consiste à chercher « ../ » ou « ..\ » dans le paramètre de render(), et rendre une exception si detecté.
Ainsi, des utilisateurs peuvent connaitre des BCB (cassures de compatibilité).
De ce fait, un paramètre « lfiProtectionOn » est à true par défaut dans Zend_View, et effectue cette vérification.
Le passer à false rend l’application compatible, mais supprime la vérification de sécurité.
Notez qu’en théorie : toute variable est censée être filtrée, il n’y a donc pas de problème normalement.
1 Commentaire + Ajouter un commentaire
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007
Mieux vaut corriger dans son application plutôt que de passer à false le paramètre, surtout que la sécurité est un point essentiel dans la qualité de l’application.