Archive_Tar

Die Schwachstelle steckt in Archive_Tar, einer PHP-Komponente aus dem PEAR-Projekt (PHP Extension and Application Repository) zum Lesen und Schreiben von Tar-Archiven, die unter anderem in Drittprodukten wie Drupal Core und Red Hat Linux eingesetzt wird. Beim Verarbeiten eines präparierten Archivs prüft die Komponente Dateinamen nur unzureichend: Sie filtert die Zeichenfolge zur Erkennung von Phar-Angriffen lediglich in einer Schreibweise und übersieht abweichende Großschreibungen sowie andere Stream-Wrapper. Dadurch lassen sich weitere Wrapper wie file:// einschleusen, mit denen ein Angreifer bestehende Dateien überschreiben kann. Über den Phar-Mechanismus kommt es zudem zur Deserialisierung nicht vertrauenswürdiger Daten, die in eine Codeausführung münden kann. Ausgelöst wird die Lücke, sobald eine Anwendung ein vom Angreifer kontrolliertes Archiv mit dieser Bibliothek entpackt. Betroffen ist jede Software, die Archive_Tar zum Verarbeiten fremder Archive nutzt.