Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因

Joomla!にコード実行脆弱性(CVE-2015-8562)があり、パッチ公開前から攻撃が観測されていたと話題になっています。 Joomlaに深刻な脆弱性、パッチ公開2日前から攻撃横行 「Joomla!」に再び深刻な脆弱性、3.4.6への速やかなアップデートを推奨 パッチ公開の前に攻撃が始まる状態を「ゼロデイ脆弱性」と言いますが、それでは、この脆弱性のメカニズムはどんなものだろうかと思い、調べてみました。 結論から言えば、この問題はJoomla!側に重大な脆弱性はなく、PHPの既知の脆弱性(CVE-2015-6835)が原因でしたので報告します。 exploitを調べてみる 既にこの問題のexploitは公開されていますが、悪い子が真似するといけないのでURL等は割愛します。以下のページでは攻撃の原理が説明されています。 Vulnerability Details: Joomla! Re

[y-Aki]

utf8mb4を使うと緩和できるのかなー?

[rti7743]

mysql「よくわかんないから切り捨てよう」php「なんかシリアライズ壊れてるからオブジェクト型にしよう？(なんで？)」->デストラクタでコード実行か。よく考えるなあ

[rryu]

合わせ技で一本みたいな脆弱性だな……

[oppara]

Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因 | 徳丸浩の日記 B!

[kamipo]

デフォルトでsql_modeにSTRICT_TRANS_TABLESを含むMySQL 5.7なら大丈夫

[pochi-p]

こういう分かりやすくて面白い脆弱性好き（「あくまで見てるだけの立場」なら）。

[tmtms]

MySQL で sql_mode を STRICT_ALL_TABLES にするという手もありかな。

[rmomu]

怖い

[deep_one]

『この場合、MySQLは、UTF-8の4バイト形式の文字があると、その文字を含めてそれ以降が切り詰められる、というすごい仕様』…それはバグではなく仕様です、なのか?

[hylom]

すごいな、これを最初に見つけた人はよく発見したなぁ

[toaruR]

mysqlでセッション管理してるやつ、あった気がする……

[n314]

DebianとPostgreSQL使ってるので安心して読める

[yuhi_as]

最近のApache Commons Collectionsの脆弱性といい、デシリアライズで生まれる邪悪なクラスオブジェクト怖い

[red_snow]

うーん・・

[yoku_0825]

ワークアラウンドにsql_mode= STRICT_TRANS_TABLESまたはSTRICT_ALL_TABLESを追加で。。 https://gist.github.com/yoku0825/19f6fe20ecadb1928346

[mumincacao]

この手のでーたは serialize 周りが一時期ごたごたしてころから JSON 形式で処理するようにしてたけど SESSION 周りの内部的に使われちゃうとこかぁ・・・ （・ω・；【みかん

[k-holy]

MySQLのutf8_general_ciの罠とセッション変数の復元か、なるほど…そもそもクライアント側で加工可能な文字列をセッション変数に入れるのは危険な臭いがする。確認画面の実装とかで使われてそうだけど。

[m_shige1979]

“Class1”

[ya--mada]

面白い手があるんやなぁ

[rzi]

PHPより、MySQLの挙動のほうに驚いた。知らなかった。本当はこわいutf8_general_ci

[tyage]

unserialize使うあれだ

[you21979]

うーむ。組み合わせると問題が起きると。

[Kenji_s]

これはすごい!

[ockeghem]

悪いのは Joomla! ではなく PHPの既知の脆弱性でした