唯嘉利亚云安全 提供服务器维护、网站开发,网站安全运维,安全托管等服务!

Zend曝XMLRPC模块任意读取漏洞


文章来源:唯嘉利亚云安全   发布时间: 2012-07-23  已有 763 人 阅读


近日,乌云平台曝Zend Framework(ZF)框架中的XMLRPC模块存在xxe(XML external entity)注入漏洞(http://www.wooyun.org/bugs/wooyun-2010-09336),攻击者可借此读取服务器上的任意文件,包括密码文件及PHP源代码。200余家网站存在这一漏洞,知名开源建站平台Magento等使用ZF框架的建站系统也受该漏洞影响,波及更多网站。

据了解,ZF框架与PHP一脉相承,应用遍及金融、航空、电商、媒体等多个领域。其中XMLRPC是提供RPC(远程过程调用)和服务的一个模块,采用XML语言在服务端跟客户端之间进行数据交互。在XMLPRC功能开启的情况下,管理者可以读取服务器上的任意文件。但由于xxe(XML external entity)注入漏洞,黑客同样读取服务器上的任意文件。

360网站安全检测平台认为,上述漏洞原因在于Zend框架的loadXml函数(Zend XMLRPC Request.php和Response.php)在解析XML数据的时候未禁用加载外部entities。在初始化SimpleXMLElement类之前未调用libxml_disable_entity_loader函数(如图)。

图:未调用libxml_disable_entity_loader函数成漏洞关键

这一情况导致当WEB应用程序使用Zend_XmlRpc_Server类(ZendXmlRpcServer.php)处理XMLRPC请求时,可能泄露远程服务器的任意文件。黑客利用该漏洞,可以读取使用Zend框架系统的任意文件,包括数据库账号密码,进而对整个网站内容进行修改,甚至直接盗取PHP源代码。

鉴于该漏洞影响广泛,且有可能造成网站源代码泄露等致命危害,强烈建议升级Zend框架至最新版本(如Magento系统),

Zend框架最新版本升级地址:http://framework.zend.com/download/latest
Magento官方升级包补丁下载地址:http://www.magentocommerce.com/blog/comments/important-security-update-zend-platform-vulnerability

 


【版权声明】:除非注明,唯嘉利亚云安全文章均为原创,转载请以链接形式标明本文标题和地址
原文标题:Zend曝XMLRPC模块任意读取漏洞
原文地址:https://www.vgaliya.com/yunwei-35.html


文章标签: