شناسایی ضعفهای امنیتی در Drupal - فن آوری اطلاعات - اخبار
اخبار شرکت
اخبار فن آوری اطلاعات
-
مرورگری که تبلیغات مزاحم را مسدود میکند
-
از سرویسهای ثبتشده به نام خود اطلاع دارید؟
-
چقدر به امنیت گوشیهای نوکیا اطمینان دارید؟
-
رونمایی HTC از گوشیهای میانرده جدید U19e و +Desire 19
-
موبایلهای نوکیا با هویتی جدید
-
عرضه نسخه 75 مرورگر کروم برای گوشی های اندرویدی
-
زبان برنامه نویسی پایتون، «جاوا» و «سی» را کنار می زند
-
بهترین نرمافزارهای ویرایش فیلم
زیرمجموعه ها
شناسایی ضعفهای امنیتی در Drupal
دروپال نرمافزاری رایگان و مبتنی بر کدباز برای مدیریت محتوا، توسعه برنامههای کاربردی مبتنی بر وب و ایجاد بلاگ است.
تیم امنیتی FrSIRT در گزارش شماره FrSIRT/ADV-2008-2913 خود که دوشنبه 27 اکتبر (شش آبان) منتشر کرد، از شناسایی چندین ضعف امنیتی نیمهخطرناک در Drupal خبر داده است.
هکرها با استفاده از این آسیبپذیریها میتوانند تمهیدات امنیتی را دور زده و به اطلاعات حساس و باارزش دست یابند.
بروز یک خطا به هنگام اجرای برنامه بر سروری که برای میزبانهای مجازی IP-based تنظیم شده، عامل ایجاد نقص اول عنوان شده است. در این حالت این امکان وجود دارد که فایلهای دلخواه، خارج از دایرکتوری ریشه اجرا گردد.
دومین مشکل از بروز خطای input¬ validation به هنگام پردازش عناوین book pages ناشی شده و مجرمان سایبر با استفاده از این خطا میتوانند با فراهم کردن دسترسی "create book content" برای خود، یا ایجاد دسترسی ویرایش نودها در book hierarchy، اسکریپتهای دلخواه را اجرا نمایند.
این آسیبپذیریها که هم به صورت Locally و هم به صورت Remotely میتواند دستمایه سوءاستفاده هکرها واقع شود، توسط Anthony Ferrara و Maarten van Grootel گزارش شده است.
باگهای یادشده برای Drupal versions prior to 5.12 و Drupal versions prior to 6.6 گزارش شده و راهحل آن نیز عبارت است از: بهروزرسانی به نسخه Drupal 5.12 یا دریافت بستههای تکمیلی از http://drupal.org/files/sa-2008-067/SA-2008-067-5.11.patch و نیز بهروزرسانی به Drupal 6.6 و دریافت patch از آدرس http://drupal.org/files/sa-2008-067/SA-2008-067-6.5.patch.
گفتنی است دروپال به زبان برنامهنویسی PHP نوشته شده است ولی برای مدیریت وبسایتهای مبتنی بر دروپال نیازی به دانستن این زبان نیست.
تیم امنیتی FrSIRT در گزارش شماره FrSIRT/ADV-2008-2913 خود که دوشنبه 27 اکتبر (شش آبان) منتشر کرد، از شناسایی چندین ضعف امنیتی نیمهخطرناک در Drupal خبر داده است.
هکرها با استفاده از این آسیبپذیریها میتوانند تمهیدات امنیتی را دور زده و به اطلاعات حساس و باارزش دست یابند.
بروز یک خطا به هنگام اجرای برنامه بر سروری که برای میزبانهای مجازی IP-based تنظیم شده، عامل ایجاد نقص اول عنوان شده است. در این حالت این امکان وجود دارد که فایلهای دلخواه، خارج از دایرکتوری ریشه اجرا گردد.
دومین مشکل از بروز خطای input¬ validation به هنگام پردازش عناوین book pages ناشی شده و مجرمان سایبر با استفاده از این خطا میتوانند با فراهم کردن دسترسی "create book content" برای خود، یا ایجاد دسترسی ویرایش نودها در book hierarchy، اسکریپتهای دلخواه را اجرا نمایند.
این آسیبپذیریها که هم به صورت Locally و هم به صورت Remotely میتواند دستمایه سوءاستفاده هکرها واقع شود، توسط Anthony Ferrara و Maarten van Grootel گزارش شده است.
باگهای یادشده برای Drupal versions prior to 5.12 و Drupal versions prior to 6.6 گزارش شده و راهحل آن نیز عبارت است از: بهروزرسانی به نسخه Drupal 5.12 یا دریافت بستههای تکمیلی از http://drupal.org/files/sa-2008-067/SA-2008-067-5.11.patch و نیز بهروزرسانی به Drupal 6.6 و دریافت patch از آدرس http://drupal.org/files/sa-2008-067/SA-2008-067-6.5.patch.
گفتنی است دروپال به زبان برنامهنویسی PHP نوشته شده است ولی برای مدیریت وبسایتهای مبتنی بر دروپال نیازی به دانستن این زبان نیست.
