الويب العربي

الويب العربي (http://www.arabwebtalk.com/index.php)
-   أمن المعلومات (http://www.arabwebtalk.com/forumdisplay.php?f=13)
-   -   هام ثغرة جديدة في Php تسمح بتعدي السيق ومود و openbase dir (http://www.arabwebtalk.com/showthread.php?t=38705)

hegypt 10-10-2006 04:59 AM
هام ثغرة جديدة في Php تسمح بتعدي السيق ومود و openbase dir
 
السلام عليكم

بداية الثغرة لمذيد من المعلومات بي
http://www.securityfocus.com/bid/19933/info
وهي PHP Ini_Restore() Safe_Mode and Open_Basedir Restriction Bypass Vulnerability
وتعني ان المخترق يستطيع ارجاعة اعدات ال php
الي الوضع الافتراضي
طيب يعن اية يعني انا الاعدادات الاساسية لا بها حماية علي السيف مود او دوال مغلقة بترجخ اعداتات ال
php,ini
بيضاء بدون اي حماية
طيب كيف يفعل ذلك عن طريق دالة Ini_Restore()

هل في حل من الشركة
للاسف هو الترقية الي النسخة التي تحت التجربة php4.4.5
وممكن تتسبب النسخة با الاعداء الخاطئ الي انهيار السيبانال لان السيبانال لا تدعمها
اخيرا في حل نهائي وهو بسيط

عمل اضافة لي php.ini
في
disable function
اضافة دالة
Ini_Restore
الي قائمة الدوال الممنوعة
تحياتي
عمرو
عرب ليكوس

DR.DERMANN 10-10-2006 11:28 AM
السلام عليك يا اخى هذه فعلا مشكلة واظن انه ما نزل لها ترقيع فمؤقتا يتم منع الدالة الا ان يظهر الترقيع

Arabhosters.com 10-10-2006 07:33 PM
جزاك الله خير
الثغرة تم اكتشافها من مدة
وايضا هناك ثغرة اخرى فى ال php
وحلها مؤقتا إغلاق هذه الدوال
symlink ,mkdir , unlink , fopen
شكرا

sec-zone.com 11-10-2006 12:38 AM
شكرا لك اخي وياريت من الجميع الدخول هنا ايضا

http://www.arabwebtalk.com/showthread.php?t=38259

alsahernet 14-10-2006 02:52 PM
جزاك الله خير


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 03:37 AM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012