> گروه اخبار > لحظه نگر مالی و بازارهای سرمایه گذاری > دیجیتال و فناوری > مشروح خبر جهت ارسال به چند نفر، نام و ایمیل گیرندگان با کاما { ، } جدا شوند. نام فرستنده: * ایمیل فرستنده: نام گیرنده(گان): * ایمیل گیرنده(گان): * متن پیام: * کد امنیتی: تاریخ: 1397/11/02 انتشار بهروزرسانی حیاتی برای دروپال دو آسیبپذیری بحرانی در سیستم مدیریت محتوای دروپال (Drupal) کشف شده که بهروزرسانیهایی برای حل آنها منتشر شده است. یکی از این دو، آسیبپذیری تزریق شیء مربوط به کتابخانه PEAR Archive_Tar است که برخی پیکربندیهای دروپال را تحت تاثیر قرار میدهد. آسیبپذیری دوم از نوع اجرای کد راه دور است و از PHP نشات میگیرد. آسیبپذیری تزریق شیء به گزارش لحظه نگر مالی تیم متفکران به نقل از مرکز ماهر، دروپال از کتابخانه Archive_Tar عرضه شده توسط PEAR استفاده میکند. به تازگی یک بروزرسانی امنیتی برای یک آسیبپذیری این کتابخانه ارائه شده است که برخی پیکربندیهای دروپال را تحت تاثیر قرار میدهد. آسیبپذیری مذکور با شناسه CVE-2018-1000888، در کلاس Archive_Tar نهفته است. مهاجم میتواند یک فایل مخرب tar بسازد و مسیر آن را به شکل phar://[path_to_malicious_phar_file] به تابع Archive_Tar::extract بدهد. با این کار، unserialization اتفاق میافتد. با استفاده از تزریق شیء میتوان تابع destruct کلاس بارگذاری شده PHP را فراخوانی کرده و حذف فایل دلخواه را سبب شد. گردش چند دقیقه ای: مسیر خدمات مالی و حسابداری را مجازی طی کنید فایل phar نوعی فایل آرشیو است که برای بستهبندی اپلیکیشنهای PHP مورد استفاده قرار میگیرد. اجرای کد راه دور پیادهسازی stream wrapper برای phar که بطور توکار در PHP وجود دارد، دچار یک آسیبپذیری کد راه دور است که با استفاده از لینکهای نامطمئن phar:// فعال میشود. برخی از کدهای دروپال (core، contrib و custom) ممکن است تحت تاثیر این آسیبپذیری باشند. در بهروزرسانی دروپال، .phar به لیست پسوندهای خطرناک اضافه شده است، در نتیجه هر فایلی با این قالب در یک فیلد فایلی بارگذاری شود، به طور خودکار به فایل متنی .txt تبدیل میشود. همچنین برای PHP نسخه 5.3.3 به بالا، پیادهسازی پیشفرض PHP با یک پیادهسازی توسط دروپال جایگزین شده و در نسخههایPHP پایینتر، به طور پیشفرضphar stream wrapper غیرفعال شده است. راه حل: Drupal Core را به آخرین نسخه بهروزرسانی کنید: اگر از دروپال نسخه 7 با PHP 5.2 یا PHP 5.3.0-5.3.2 استفاده میکنید و نیاز دارید که phar stream wrapper را فعال کنید، بهتر است نسخه PHP را ارتقاء دهید. نسخه در حال استفاده نسخه بهروز شده 8.6.x 8.6.6 8.5.xیا ماقبل 8.5.9 7.x 7.62 منبع خبر: مرکز ماهر ثبت نام و عضویت میز کار لینک های مفید خدمات حَسمان ارتقاء سواد مالی در حَسمان خدمات ویژه حسابداران ارتقاء حرفه ای در حَسمان خدمات ویژه مدیران طرح پویش سواد اندوزی مالی دوره های آموزشی lms عضویت ویژه حسمان مشارکت و دعوت از دوستان همیار با تو همیار دانش آموز طرح پویش سواد اندوزی مالی آموزش سواد مالی مقدماتی نبض بازار دیده بان بازار هوای بازار دوره آموزشی بهینه نگر همیار شغلی حسابدار دیکشنری تخصصی حسابداری ثبت رزومه دوره های آموزشی توسعه نگر طرح توانمند سازی ایستگاه خبر حسابداری مدار خبر کار و دانش ثبت آگهی استخدام دوره های آموزشی مدیران همیار دانش آموز طرح پویش سواد اندوزی دوره های آموزشی همراه با تیم همراه با تیم همراه با تیم دیدگاه کاربران نام: پست الکترونیک: * متن: * کد امنیتی: * اخبار مرتبطجریمه توییتر برای سوءاستفاده از ایمیل و شماره تلفن کاربرانراهنمای خرید تلفن همراهاحتمال اختلال تلفن همراه در برخی مناطق تهران و البرزفحش، تهدید و فشار؛ ماهی ۳ میلیون تومان!مراقب کلاهبرداران نوروزی باشید!