| ثغرة في PHP 5.2.9 curl تسمح بتخطي الوضع الآمن و open_basedir |
| الكاتب عبدالمهيمن الآغا |
| الجمعة, 10 أبريل 2009 14:11 |
|
تم بتاريخ اليوم اكتشاف ثغرة خطيرة في الاصدار 5.2.9 من لغة php أصابت الدالة curl تحديدا تمكن المهاجم من تخطي الوضع الآمن safe_mode وحماية open_basedir أيضا, تكمن الثغرة في خطأ برمجي في دالة curl أثناء التحقق من تفعيل الوضع الآمن.
أما بخصوص الدالة curl فهي تستخدم في تحميل الملفات والصفحات وتعتمد في عملها على مكتبة liburl. يجب التنويه الى انتشار كود استغلال الثغرة في بعض مواقع الثغرات, نحن ننصح بتعطيل هذه الدالة في الوقت الحالي الى أن يتم اصدار تحديث أو استخدام الاصدار 5.2.8 من php كما نذكر بعدم الاعتماد في حماية السيرفر على خاصية الوضع الآمن في لغة php فبأي وقت ممكن اكتشاف ثغرة جديدة في احدى الدوال تمكن المهاجم من تخطي الوضع الآمن بسهولة!
إضافة إلى المفضلة
مشاركة
إرسال إلى صديق
المشاهدات: 1905 التعليقات (2)
  أرسلت بواسطة: daif في April 10, 2009
اذا كانت اعدادات السرفر نفسه آمنه أي ان كل صاحب موقع يعمل بمستخدمه وكل مستخدم لديه صلاحيات فقط على ملفاته أو مجموعتة , فان هذا الخلل سيكون محدود جدا , في الواقع بي اتش بي تقدم بعض خصائص الامان لك .., لكن اعدادات السرفر مهمة جدا .
 أرسلت بواسطة: Mustafa Albazy في April 12, 2009
مرحبا
بصراحة ماشوفها مشكلة كبيرة, مود سيكورتي مع قوانين مناسبة يفي بالغرض, إلى أن يتم انزال تحديث امني. بالمناسبة انصح الكل بنسيان (بالذات اصحاب شركات الاستضافة العربية) مايسمى بالـ Safe_mode لان في الاصدار القادم php 6 لن يكون هناك شيء يسمى Safe_mode, وايضاً لو نلاحظ ان في الوقت الحالي 50% من تطبيقات php تطلب الغاء تفعيل safe_mode
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
