پارس آی سی تی
هشدار مركز افتا؛

شناسایی نقص امنیتی در نسخه های جدید زبان برنامه نویسی PHP

شناسایی نقص امنیتی در نسخه های جدید زبان برنامه نویسی PHP

به گزارش پارس آی سی تی مركز مدیریت راهبردی افتای ریاست جمهوری نسبت به شناسایی نقص امنیتی در نسخه های جدید زبان برنامه نویسی PHP اخطار داد كه از این نقص برای تحت كنترل درآوردن سرورها سوءاستفاده شده است.



به گزارش پارس آی سی تی به نقل از معاونت بررسی مركز افتا، صدمه پذیری جدید اجرای كد از راه دور در زبان برنامه نویسی PHP سبب شده كه از این نقص امنیتی به تازگی برای تحت كنترل درآوردن سرورها سوءاستفاده شود.
زبان PHP رایج ترین زبان برنامه نویسی است كه برای ساخت وب سایت ها استفاده می شود. در این نرم افزار، صدمه پذیری با شماره CVE-۲۰۱۹-۱۱۰۴۳ ردیابی می شود و به مهاجمان اجازه می دهد تا با دسترسی به یك URL ساخته شده، دستوراتی را روی سرورها اجرا كنند.
بهره برداری از این صدمه پذیری به آسانی انجام می شود و كد اثبات مفهومی (PoC) آن به صورت عمومی در گیت هاب انتشار یافته و در دسترس كاربران است.
طبق گفته كارشناسان امنیتی، اسكریپت PoC موجود در گیت هاب می تواند از راه وب سرور مورد نظر وجود صدمه پذیری را بررسی كند و هنگامی كه یك هدف صدمه پذیر شناسایی شود، مهاجم می تواند به سرور وب صدمه پذیر، درخواست دستكاری شده ارسال نماید.
در این صدمه پذیری كه وصله مربوط به آن هم انتشار یافته است، همه سرورهای مبتنی بر PHP تحت تاثیر قرار نمی گیرند و تنها سرورهای NGINX كه خصوصیت PHP-FPM آنها فعال باشد صدمه پذیر هستند؛ بعضی از عرضه دهندگان میزبانی وب این مولفه را بعنوان بخشی از محیط میزبانی PHP اضافه می كنند.
مركز افتا تصریح كرد كه با عنایت به در دسترس بودن كد PoC و سادگی بهره برداری از این نقص، به صاحبان وب سایت ها سفارش می شود تنظیمات وب سرور را بررسی و نسخه PHP را در اسرع وقت به روز كنند.

1398/08/06
10:30:49
5.0 / 5
881
این مطلب را می پسندید؟
(1)
(0)

تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
لطفا شما هم نظر دهید
= ۶ بعلاوه ۳
آی سی تی پارس