Onderzoeker vindt rce-lek op site van php-repository Packagi

woensdag 29 augustus 2018 15:49

Acties:

0 Henk 'm!

✅ ⟵ vinkje

Topicstarter

nieuws: Onderzoeker vindt rce-lek op site van php-repository Packagist

@Verwijderd
In de patch die je linkt zie ik alleen dat er escapes toegevoegd worden, niet vervangen. Het lijkt mij dan ook dat er voorheen niet escaped werd en nu wel.

Daarbij was het zo dat de vervolgens op de server uitgevoerde commando's p4 en svn, respectievelijk voor Perforce en Subversion, een verkeerde escape gebruikten voor de url. Daardoor werd het commando uitgevoerd.

Dat lijkt me dan ook onjuist, ik zie namelijk in de patch niet terug dat een escape vervangen is, alleen dat er nieuwe escapes toegevoegd zijn.

Of mis ik ergens iets?

Ik ben geen recruiter ofzo, maar wel op zoek naar een collega devver. Typescript/Node/Angular/etc en liefst op HBO niveau. We zitten op een prachtige locatie tussen bos en heide op de Utrechtse heuvelrug. Mijn PM box staat open!

woensdag 29 augustus 2018 15:56

duqu

De onderzoeker heeft het over 'improperly escaping', vandaar. Ik zal een betere omschrijving kiezen, thanks!

woensdag 29 augustus 2018 15:56

Acties:

Beste antwoord ✓
0 Henk 'm!

duqu

De onderzoeker heeft het over 'improperly escaping', vandaar. Ik zal een betere omschrijving kiezen, thanks!

woensdag 29 augustus 2018 16:54

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

duqu schreef op woensdag 29 augustus 2018 @ 15:56:
De onderzoeker heeft het over 'improperly escaping', vandaar. Ik zal een betere omschrijving kiezen, thanks!

Niet escapen val ook onder 'improperly escaping'

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

Vraag

Beste antwoord (via JDVB op 29-08-2018 16:58)

Alle reacties