آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا [بایگانی]

PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا

trueend5

07-19-2006, 11:54 PM

اطلاعات بیشتر:

فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند

فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند

فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند

فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند

اصولا به راحتی میشه اصلاحش کرد ولی اگه مشکل دارید و رجیستر گلوبالز هم رو سرورتون فعاله بهتره مراقب باشید :D

firoozmandan

07-20-2006, 05:30 AM

javid

07-20-2006, 09:02 AM

اینجا رو هم ببینید :
[به دلایلی لینک حذف شد !]
11 تا از این مشکلات امنیتی در تاریخ 2006-07-17 ارائه شدن !

البته همشون مشکلات کامپوننتهای ( غیر حرفه ای و بتا ) مامبو هستن و خود مامبو مشکلی نداره ...
هنگام استفاده از کامپوننتهای مامبو حواستون رو جمع کنید ....
و سعی کنید از کامپوننتهای مورد تائید مامبو لرن استفاده کنید که در صورت بروز مشکل بتونید وصله امنیتیش رو هم دریافت کنید.....

2006-07-17 pollxt Mambo Component <= 1.22.07 Remote Include Vulnerability 525 R D vitux
2006-07-17 Sitemap Mambo Component <= 2.0.0 Remote Include Vulnerability 422 R D Matdhule
2006-07-17 HTMLArea3 Mambo Module <= 1.5 Remote Include Vulnerability 408 R D Matdhule
2006-07-17 com_hashcash Mambo Component <= 1.2.1 Include Vulnerability 337 R D Matdhule
2006-07-17 MiniBB Mambo Component <= 1.5a Remote File Include Vulnerabilities 514 R D Matdhule
2006-07-17 perForms Mambo Component <= 1.0 Remote File Inclusion 426 R D endeneu
2006-07-17 pc_cookbook Mambo Component <= 0.3 Include Vulnerability 364 R D Matdhule
2006-07-17 com_loudmouth Mambo Component <= 4.0j Include Vulnerability 523 R D h4ntu
2006-07-17 com_extcalendar Mambo Component <= 2.0 Include Vulnerability 594 R D OLiBekaS
2006-07-17 SMF Forum Mambo Component <= 1.3.1.3 Include Vulnerability 902 R D ASIANEAGLE
2006-07-17 com_videodb Mambo Component <= 0.3en Remote Include Vulnerability 775 R D h4ntu

این لیستشونه ببخشید که در هم برهمه !

javid

07-20-2006, 07:14 PM

االبته همشون مشکلات کامپوننتهای ( غیر حرفه ای و بتا ) مامبو هستن و خود مامبو مشکلی نداره ...
هنگام استفاده از کامپوننتهای مامبو حواستون رو جمع کنید ....
و سعی کنید از کامپوننتهای مورد تائید مامبو لرن استفاده کنید که در صورت بروز مشکل بتونید وصله امنیتیش رو هم دریافت کنید.....

سعی کنید از کامپوننتهای مورد تائید مامبو لرن استفاده کنید که در صورت بروز مشکل بتونید وصله امنیتیش رو هم دریافت کنید.....

javad583

07-20-2006, 07:48 PM

این Truend هم میاد هر از گاهی دل مردم رو به شورش میندازه و میره!

trueend5

07-22-2006, 12:50 PM

موفق باشید.

این Truend هم میاد هر از گاهی دل مردم رو به شورش میندازه و میره!

نه به خدا هروقت باگ جدیدی میبینم که به مامبو مربوط میشه میام اینجا پست میدم که شاید مورد استفاده کسی قرار بگیره.

در ضمن دقت کنید اگه پی اچ پی به صورت cgi یا fastcgi ران شده باشه از طریقhtaccess. نمیشه ارزش رجیستر گلوبالز رو تغییر داد ولی اکثرا به صورت ماژول آپاچی نصب میشه و میتونید از راهکاری که آقای فیروزمندان ارایه دادن استفاده کنید.
موفق باشید.

javid

07-22-2006, 01:50 PM

ُسلام

برای حل این مشکل و Off کردن Register Global در سرورتون میتونید از روش زیر استفاده کنید :

یک فایل با نام

.htaccess

در Root سایتتون بسازید و کد زیر را در فایل قرار بدین . فایل را ذخیره کنید .

php_flag register_globals off

یا علی

یه پیشنهاد : این کد رو توی htaccess.txt بزارید ! و با مامبو تون ارائه بدید ضرری که نداره باعث بالاتر رفتن امنیت هم میشه !!!!

saqibarzani

08-14-2006, 07:25 PM

آقای فیروزمندان من اینا php_flag register_globals off
تو فایل.htaccess گذاشتم ولی سایت من دیگه‌ کار نکرد ! چرا؟

sorry4uboth

08-14-2006, 07:45 PM

چطوری شده؟
چه پیغامی به شما میده؟

Siamak

08-14-2006, 08:50 PM

در بعضی از هاست ها این مشکل وجود داره و بال تغییر رجیستر گلوبال یا برنامه ها اجرا نمیشه و یا درست کار نمیکنه. بهتره با هاشتینگتون تماس بگیرید و درخواست آف کردن رو بدید (خاموش و روشن کردن رجیستر گلوبال برای هر دومینی به صورت جداگانه امکان پذیر هست.

saqibarzani

08-14-2006, 08:56 PM

تشکر از راهنماییهاتون. من البته تو هاستینگم میتونم PHP Configuration فایل خودمم داشته باشم. اونجا هم که OFF کردم دیگه اصلا ویبسایت نمییاد... هیچ پیغامی نمیده ولی دیگه صفحه اول نمیاد !!!!!!!!!

چرا؟

Siamak

08-14-2006, 09:25 PM

فقط صفحه اول نمیاد؟

saqibarzani

08-14-2006, 11:03 PM

اگه صفحه اول نیاد مگه صفحه‌های دیگه میاند ؟ ;D

javad583

08-15-2006, 01:01 AM

ساقی خانم اولا شما اون دستورات رو کجای فایل htaccess. اضافه کردین؟ بین توابع ارسالی قبلی که نبوده؟

در مورد مسئله دومتون هم عرض کنم تنها تغییر یک تابع داخل php.ini شرط نیست توابع بسیاری باید تنظیم شوند.

javad583

08-15-2006, 04:27 AM

اینها هیچ مشکلی ندارن ولی دو تا نکته یادت باشه؛
1- هیچ وقت به این راحتی فایل های به این مهمی رو بطور عمومی منتشر نکن،
2- اگر هم منتشر میکنی حداقل ببرشون توی فرمت Code تا راحت بشه اونا رو خوند!!

saqibarzani

08-15-2006, 12:34 PM

مرصی جواد جان.... ولی هنوز هم وقتی php_flag register_globals off را خاموش مینکم دیگه سایتم کار نمیکنه !

javad583

08-15-2006, 02:18 PM

واقعا عجیبه! خوشحال میشم با مسئول سرورتون یه صحبتی کنم.

saqibarzani

08-15-2006, 02:40 PM

میشه یه Sample باسه فایل htaccess را اینجا بذارید؟ با php_flag register_globals off ؟؟

تشکر

Siamak

08-15-2006, 04:06 PM

ُسلام

برای حل این مشکل و Off کردن Register Global در سرورتون میتونید از روش زیر استفاده کنید :

یک فایل با نام

.htaccess

در Root سایتتون بسازید و کد زیر را در فایل قرار بدین . فایل را ذخیره کنید .

php_flag register_globals off

یا علی

من خدمتتون عرض کردم که این به تنهایی کفایت نمیکنه. شما باید با مسوول سرور صحبت کنید و تقاضای تغییر وضعیت رجیستر گلوبال رو بهش بدید.

trueend5

08-17-2006, 01:12 AM

h

آقای فیروزمندان� من اینا php_flag register_globals off
� تو فایل.htaccess� گذاشتم ولی سایت من دیگه‌ کار نکرد !� چرا؟

احتمالا وب سرور شما APACHE 2 هستش.
تو آپاچی دو باید داخل <virtual> یا <directory> قرار بدید.

saqibarzani

08-17-2006, 05:42 AM

اینا میشه زیادتر توضیج بدید ؟ متشکرم.

احتمالا وب سرور شما APACHE 2 هستش.
تو آپاچی دو باید داخل <virtual> یا <directory> قرار بدید.

چطوری؟ کجا؟

trueend5

08-17-2006, 02:03 PM

<Directory /var/فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند
php_value register_globals 0
<Directory/>

مثلا این رو امتحان کن.
فقط دقت کن واسه این که کدها تو rtl درست نشون داده شه یکم دست کاری کردم همینو کپی پیست نکنی.
آدرس دایرکتوری رو هم هر چی بدی مثلا من دادم var/فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند از اونجا به پایین تغییراتی که مشخص کردی اعمال میشه. شما میتونی تو پابلیک اچ تی ام ال بسازی بدی
</ Directory>
<Directory/>

saqibarzani

08-17-2006, 02:39 PM

trueend5 جان مرصی ولی مگه ما به این فایل دسترسی داریم ؟ باور نمیکنم..... بعدش من با CPanel و FTP نگاه کردم ندیدمش !

javad583

08-17-2006, 03:29 PM

ساقی جان شما فقط در صورتی که سرور اختصاصی و یا VPS داشته باشی میتونی به این فایل ها در شاخه ای که دوست خوبمون گفتن برسید. در غیر اینصورت درخواستتون رو برای مدیر سرورتون بفرستید.

saqibarzani

08-17-2006, 03:38 PM

جواد جان من اگه یه ایمیل بفرستم چی بهش بگم ؟ که چی را زیاد کنه تو کدوم فایل و چرا؟

تشکر

javad583

08-17-2006, 04:07 PM

بهشون بگید به دلایل امنیتی Register_global رو off کنن! بعد هم تغییراتی رو که دوست خوبمون trueend5 ذکر کردن رو براشون بفرستید.

saqibarzani

08-17-2006, 04:13 PM

آخه من off کردم توی PHP و .htaccess ولی دیگه سایتم کار نکرد ! :-\

javad583

08-17-2006, 04:26 PM

خب فرق میکنه نهایتا تغییرات توی htaccess. و خود فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند از یه ارجحیت و چگالی برخوردار نیستند. در ضمن مسئله اصلی اضافه کردن اون کد بین تگ های Directory هست که باید حتما بدرستی انجام بشن.

trueend5

08-17-2006, 08:55 PM

trueend5� جان مرصی ولی مگه ما به این فایل دسترسی داریم ؟ باور نمیکنم..... بعدش من با CPanel� و� FTP نگاه کردم ندیدمش !

سلام
کدوم فایل ؟
من که اسم فایلی نیاوردم.
ولی در کل تو این شرایط بهترین راه همونطور که جناب احمدزاده گفتن تماس با پشتیبانی هاستتون هست

Siamak

08-17-2006, 09:29 PM

دوست عزیز علت از کار افتادن ایجاد فید بک مثبت در پروسس سرور هست. با هاستینگ تماس بگیرید و درخواست تغییر رو بدید.

saqibarzani

08-18-2006, 12:35 PM

دوستان متشکرم از کمکهاتون... با هاستینگ تماس میگیرم ببینم چطوری میشه Off ش کرد......