هشدار مركز افتا؛

شناسایی نقص امنیتی در نسخه های جدید زبان برنامه نویسی PHP

شناسایی نقص امنیتی در نسخه های جدید زبان برنامه نویسی PHP

مینی كامپیوتر: مركز مدیریت راهبردی افتای ریاست جمهوری نسبت به شناسایی نقص امنیتی در نسخه های جدید زبان برنامه نویسی PHP آگهی داد كه از این نقص برای تحت كنترل درآوردن سرورها سوءاستفاده شده است.



به گزارش مینی كامپیوتر به نقل از معاونت بررسی مركز افتا، لطمه پذیری جدید اجرای كد ازراه دور در زبان برنامه نویسی PHP سبب شده كه از این نقص امنیتی بتازگی برای تحت كنترل درآوردن سرورها سوءاستفاده شود.
زبان PHP رایج ترین زبان برنامه نویسی است كه برای ساخت وب سایت ها استفاده می شود. در این نرم افزار، لطمه پذیری با شماره CVE-۲۰۱۹-۱۱۰۴۳ ردیابی می شود و به مهاجمان اجازه می دهد تا با دسترسی به یك URL ساخته شده، دستوراتی را روی سرورها اجرا كنند.
بهره برداری از این لطمه پذیری بسادگی انجام می شود و كد اثبات مفهومی (PoC) آن به صورت عمومی در گیت هاب انتشار یافته و در دسترس كاربران است.
طبق گفته كارشناسان امنیتی، اسكریپت PoC موجود در گیت هاب می تواند بوسیله وب سرور مورد نظر وجود لطمه پذیری را بررسی كند و هنگامی كه یك هدف لطمه پذیر شناسایی شود، مهاجم می تواند به سرور وب لطمه پذیر، درخواست دستكاری شده ارسال نماید.
در این لطمه پذیری كه وصله مربوط به آن نیز انتشار یافته است، همه سرورهای مبتنی بر PHP تحت تأثیر قرار نمی گیرند و تنها سرورهای NGINX كه خاصیت PHP-FPM آنها فعال باشد لطمه پذیر هستند؛ بعضی از ارائه دهندگان میزبانی وب این مولفه را بعنوان قسمتی از محیط میزبانی PHP اضافه می كنند.
مركز افتا اصرار كرد كه با عنایت به در دسترس بودن كد PoC و سادگی بهره برداری از این نقص، به صاحبان وب سایت ها سفارش می شود تنظیمات وب سرور را بررسی و نسخه PHP را در اسرع وقت به روز كنند.


منبع:

1398/08/05
22:05:26
5.0 / 5
4662
این مطلب را می پسندید؟
(1)
(0)

تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
لطفا شما هم نظر دهید
= ۱ بعلاوه ۱
مینی کامپیوتر