KirSecurity Jun 8 at 14:47

CVE-2024-4577: Не может быть, PHP опять под атакой

Easy

4 min

5.9K

Information Security*PHP*Apache*

Review

Translation

Comments 11

datacompboy Jun 8 at 15:11

Распознавание вариаций пробелов и вариаций минусов-дефисов-тире обычно делают для того, чтоб копипастить из примеров на сайтах и в блогах можно было.

alekssamos Jun 9 at 06:21

У меня всегда была parse error такая ошибка, когда пробел был представлен кодом 160. Всегда, во всех языках программирования. Когда я копировал с каких-то сайтов, приходилось через найти и заменить всё убирать эти пробелы с кодом 160. Неразрывные пробел, кажется, называется.

datacompboy Jun 9 at 16:00

Вот варианты пробелов в юникоде: https://www.compart.com/en/unicode/category/Zs

nbsp (A0 который) встречается крайне часто, особенно при копипасте с сайтов или из ворда.

То же самое с дефисами-минусами, да. В теории, правильно оформленный кусок завернутый в тег code должен быть 1-в-1 для копирования -- но часто встречаются и неоформленные.

Впрочем, проблема тут не в библиотеке разбора, а в использовании WideCharToBultiByte -- именно поэтому проблема в некоторых кодовых страницах, а не вообще.

petro_64 Jun 8 at 22:59

А почему использование мягкого дефиса зависит от локали? В Юникоде не должно это обрабатываться одинаково разве?

KirSecurity Jun 9 at 10:19

В юникоде да, но тут видимо фишка именно при кодировании дальше в ASCII (который используется самой Windows), т.к. данная CVE актуальна только на Windows.

dairymaid1 Jun 13 at 08:38

Развернул XAMPP, дал request через Burp Suite, phpinfo(); не сработал, в чем проблема?

datacompboy Jun 13 at 13:08

Локаль 932, 936 или 950 выставить надо

FanatPHP Jun 9 at 09:39

Сначала бодро пишем заманчивый текст

XAMPP - очень популярный способ администраторов и разработчиков развернуть Apache, PHP и множество других инструментов...

а потом скромно забываем дописать "...на уютном домашнем компике под Виндой, где веб-сервер биндится к приватным IP". Понимаю, новость сразу становится не такой вкусной и возникают вопросы, интересна ли она кому-то, кроме очередных мамкиных хакиров, с успехом ломающих собственную венду.

KirSecurity Jun 9 at 10:24

Не всегда к приватным, но согласен, для прода такая инсталляция это скорее изюминка, плюс еще такие специфичные локали.

Но меня больше в этой новости зацепило, что подобные ошибки в обработке PHP очень старые, но новые реализации находят до сих пор.

koreychenko Jun 9 at 23:19

А это точно уязвимость PHP, а не админская "дырка"?

Вы б ещё эвалы включили и прочие богомерзкие вещи.

А тут, apache, cgi, под виндой, сразу видно, что человек любит боль и явно нарывается специально.

FanatPHP Jun 10 at 09:19

Ну, судя по всему, тут именно РНР (правда в невероятном варианте использования). И в целом это неплохая была бы статья для начинающего любителя сайбер секьюрити, который разобрался в этой несложной уязвимости.

Но всё портят попытки набить себе цену на пустом месте и раздуть из лабораторной уязвимости проблему вселенского масштаба. А всего-то надо было честно написать - "Уязвимость представляет скорее академический интерес, но разобрать её интересно".