الويب العربي

الويب العربي (http://www.arabwebtalk.com/index.php)
-   أمن المعلومات (http://www.arabwebtalk.com/forumdisplay.php?f=13)
-   -   تنبيه هاممممم جداااااا لجميع السرفرات "ثغره جديده فى ال php " (http://www.arabwebtalk.com/showthread.php?t=38259)

sec-zone.com 05-10-2006 02:54 AM
تنبيه هاممممم جداااااا لجميع السرفرات "ثغره جديده فى ال php "
 
تم الاعلان و صدور ثغره جديده فى ال php engine
و هى تصيب كل محركات ال php الموجوده حاليا و ما قبلها

Affected Products

PHP version 5.1.6 and prior
PHP version 4.4.4 and prior

و هنالك حلان لهذه الثغره
اولا ::

اغلاق كلا من الدوال الاتيه لانها يمكن من خلالها استغلال الثغره و الحصول على معلومات من سرفرك
"symlink()", "mkdir()", "unlink()", and "fopen()"

ثانيا ::
هو تنزيل اخر اصدار من ال php
و هو الاصدار رقم 4.4.5-dev
و هذا هو الحل الافضل بالطبع فى رائيى الشخصى
طبعا لم يتم دعم السى بانل لهذا التحديث فى ال php
و بالتالى لابد من عمل كومبايل يدوى و تنزيل الاصدار الجديد مع الاباتشى يدويا من ال ssh

و يمكنكم الحصول على اخر نسخه من هنا ::

و تم ترقيع سكيورتى زون و الحمد لله

PHP Version 4.4.5-dev
و اى مساعده او استفسار احنا حاضرين

طيف لخدمات الاستضافة 06-10-2006 11:50 PM
جزيت خيرا ً ,
هل تقوم بالتأثير على أحد البرمجيات ؟؟
وماهي مضارها
جزاك الله خير

sec-zone.com 07-10-2006 07:44 PM
سؤالك غير واضح تماما !؟

SecHost-IT 08-10-2006 02:52 AM
إقتباس:
اقتباس من مشاركة |[ ابو شـوق ]|
جزيت خيرا ً ,
هل تقوم بالتأثير على أحد البرمجيات ؟؟
وماهي مضارها
جزاك الله خير

يقصد على ما أظن هل ستؤثر على المنتديات وعملها ... هذا ما أعتقد يقصده ...
طبعا أجيبه أنا ... أكيد ﻻ :d

مشكور على التنبيه ...

pc4arbx 08-10-2006 04:28 AM
السلام عليكم

الاخوة الاعضاء . لى تعقيب صغير على غلق هذه الدوال .

وده شرح بسيط جدا لوظائف الدوال .

1 - الدالة unlink ووظيفتها حذف ملف داخل مسار معين يت تحديده مع الدالة .

2- الدالة mkdir ووظيفتها انشاء مجلد على على السريفر . لحفظ ملفات به .

3- الدالة fopen ووظيفتها فتح ملف او وصلة . بتحديد مسار معين للدالة .

4- الدالة symlink ووظيفتها .انشاء وصلة رمزية لملف موجود ومحدد مساره .

يمكنك الاطلاع على شرح وافى للدوال داخل هذا الموقع www.php.net

كثير جدا من الاسكربتات وبالاخص مراكز التحميل تستخدم هذه الدوال فى عملها وبالتالى . اذا توقفت هذه الدوال . توقفت وظائف فى الاسكربت .

ومع احترامى الشديد لاخى SecHost-IT . المواقع العربية ليست منتديات فقط . لكى نهمل بقية المواقع . ونجازف بعمل زى ده .

ويبقى الحل هو ان نصل لحل اخر . لتجنب حدوث مشاكل لاصحاب السريفرات او اصحاب المواقع .

والحل هو كما ذكر اخى الكريم sec-zone.com تحديث نسخة php الموجودة على السيرفرات .

او . نجعل اصحاب المواقع يقوموا بتعديل اسكربتاتهم ويستخدموا دوال اخرى بديلة . لهذه الدوال . واعتقد ان الحل ده . يعتبر كارثة بكل المقاييس . ومن المستحيل تنفيذه . لان الكثير من اصحاب المواقع ليسوا مبرمجين وبيستخدموا فى الغالب اسكربتات جاهزة .والاخوة المبرمجين العرب اعدادهم محدودة جدا وهنجد مئات المواقع العربية فى حالة يرثى لها . وندعوا الله الا نراها .

اسف للاطالة .

وتحياتى لكم جميعا

alsahernet 08-10-2006 05:25 PM
جزاكم الله خير يا جماعه .. انا اوافق الاخ pc4arbx في رايه ..

sec-zone.com 11-10-2006 12:40 AM
شكرا علي متابعتكم الموضوع وكتابه كل واحد رائيه

support_3arabawys 14-10-2006 09:05 AM
ماهو مصدر الثغرة؟ ومدى ضرر الثغرة؟

hegypt 17-10-2006 01:05 AM
اخي عرباوي
 
http://www.3arabawys.com/support/ind...wnews&newsid=4

اخي العزيز عرباوي اعتقد ان احترام نقل الموضوع واجب
مع ذكر المصدر
تحياتي
عمرو

PHP Player 17-10-2006 04:45 PM
إقتباس:
اقتباس من مشاركة pc4arbx
السلام عليكم

الاخوة الاعضاء . لى تعقيب صغير على غلق هذه الدوال .

وده شرح بسيط جدا لوظائف الدوال .

1 - الدالة unlink ووظيفتها حذف ملف داخل مسار معين يت تحديده مع الدالة .

2- الدالة mkdir ووظيفتها انشاء مجلد على على السريفر . لحفظ ملفات به .

3- الدالة fopen ووظيفتها فتح ملف او وصلة . بتحديد مسار معين للدالة .

4- الدالة symlink ووظيفتها .انشاء وصلة رمزية لملف موجود ومحدد مساره .

يمكنك الاطلاع على شرح وافى للدوال داخل هذا الموقع www.php.net

كثير جدا من الاسكربتات وبالاخص مراكز التحميل تستخدم هذه الدوال فى عملها وبالتالى . اذا توقفت هذه الدوال . توقفت وظائف فى الاسكربت .

ومع احترامى الشديد لاخى SecHost-IT . المواقع العربية ليست منتديات فقط . لكى نهمل بقية المواقع . ونجازف بعمل زى ده .

ويبقى الحل هو ان نصل لحل اخر . لتجنب حدوث مشاكل لاصحاب السريفرات او اصحاب المواقع .

والحل هو كما ذكر اخى الكريم sec-zone.com تحديث نسخة php الموجودة على السيرفرات .

او . نجعل اصحاب المواقع يقوموا بتعديل اسكربتاتهم ويستخدموا دوال اخرى بديلة . لهذه الدوال . واعتقد ان الحل ده . يعتبر كارثة بكل المقاييس . ومن المستحيل تنفيذه . لان الكثير من اصحاب المواقع ليسوا مبرمجين وبيستخدموا فى الغالب اسكربتات جاهزة .والاخوة المبرمجين العرب اعدادهم محدودة جدا وهنجد مئات المواقع العربية فى حالة يرثى لها . وندعوا الله الا نراها .

اسف للاطالة .

وتحياتى لكم جميعا
اوافقك الرأى تماما اخى pc4arbx


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 08:23 PM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012