Qualche giorno fa il team USH ha rilasciato una advisory, a firma di Francesco ‘ascii’ Ongaro e Giovanni ‘evilaliv3′ Pellerano, a riguardo di alcune vulnerabilità riscontrate in alcune funzioni di PHP per l’accesso al filesystem; nello specifico alle funzioni della famiglia include e require.
I problemi identificati portano un attaccante a poter gestire un Local File Inclusion in piena autonomia, bypassando filtri, prefissi o suffissi hardcoded all’interno della chiamata alla funzione.

Nel dettaglio si tratta di due scoperte distinte, che se usate in accoppiata permettono di fare truncation del path in modo da aprire un file arbitrario presente sul filesystem del sistema o all’interno della open_basedir se configurata.

Consiglio di leggere l’advisory completa e magari il thread dedicato su Full Disclosure.

Drupal Day Italia

Gli impegni non mi hanno permesso di parlarne prima. DrupalDay Italia è stata la prima giornata dedicata interamente a Drupal in Italia.

Complimenti veramente a tutti gli organizzatori del Drupal Day Italia. Ottima l’organizzazione e la partecipazione del pubblico. Gli interventi sono stati di ottimi livelli anche se il mal tempo si è messo contro.

Una esperienza positiva, da ripetere!

Gli interventi dovrebbero essere pubblicati nei prossimi giorni direttamente sul sito web ufficiale.

Aggiornamento: sono state pubblicate le fotografie.