-
آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
اطلاعات بیشتر:
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
اصولا به راحتی میشه اصلاحش کرد ولی اگه مشکل دارید و رجیستر گلوبالز هم رو سرورتون فعاله بهتره مراقب باشید :D
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
ُسلام
برای حل این مشکل و Off کردن Register Global در سرورتون میتونید از روش زیر استفاده کنید :
یک فایل با نام
در Root سایتتون بسازید و کد زیر را در فایل قرار بدین . فایل را ذخیره کنید .
کد:
php_flag register_globals off
یا علی
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
اینجا رو هم ببینید :
[به دلایلی لینک حذف شد !]
11 تا از این مشکلات امنیتی در تاریخ 2006-07-17 ارائه شدن !
البته همشون مشکلات کامپوننتهای ( غیر حرفه ای و بتا ) مامبو هستن و خود مامبو مشکلی نداره ...
هنگام استفاده از کامپوننتهای مامبو حواستون رو جمع کنید ....
و سعی کنید از کامپوننتهای مورد تائید مامبو لرن استفاده کنید که در صورت بروز مشکل بتونید وصله امنیتیش رو هم دریافت کنید.....
2006-07-17 pollxt Mambo Component <= 1.22.07 Remote Include Vulnerability 525 R D vitux
2006-07-17 Sitemap Mambo Component <= 2.0.0 Remote Include Vulnerability 422 R D Matdhule
2006-07-17 HTMLArea3 Mambo Module <= 1.5 Remote Include Vulnerability 408 R D Matdhule
2006-07-17 com_hashcash Mambo Component <= 1.2.1 Include Vulnerability 337 R D Matdhule
2006-07-17 MiniBB Mambo Component <= 1.5a Remote File Include Vulnerabilities 514 R D Matdhule
2006-07-17 perForms Mambo Component <= 1.0 Remote File Inclusion 426 R D endeneu
2006-07-17 pc_cookbook Mambo Component <= 0.3 Include Vulnerability 364 R D Matdhule
2006-07-17 com_loudmouth Mambo Component <= 4.0j Include Vulnerability 523 R D h4ntu
2006-07-17 com_extcalendar Mambo Component <= 2.0 Include Vulnerability 594 R D OLiBekaS
2006-07-17 SMF Forum Mambo Component <= 1.3.1.3 Include Vulnerability 902 R D ASIANEAGLE
2006-07-17 com_videodb Mambo Component <= 0.3en Remote Include Vulnerability 775 R D h4ntu
این لیستشونه ببخشید که در هم برهمه !
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
[quote author=جاوید link=topic=1659.msg9168#msg9168 date=1153386179]
االبته همشون مشکلات کامپوننتهای ( غیر حرفه ای و بتا ) مامبو هستن و خود مامبو مشکلی نداره ...
هنگام استفاده از کامپوننتهای مامبو حواستون رو جمع کنید ....
و سعی کنید از کامپوننتهای مورد تائید مامبو لرن استفاده کنید که در صورت بروز مشکل بتونید وصله امنیتیش رو هم دریافت کنید.....
[/quote]
سعی کنید از کامپوننتهای مورد تائید مامبو لرن استفاده کنید که در صورت بروز مشکل بتونید وصله امنیتیش رو هم دریافت کنید.....
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
این Truend هم میاد هر از گاهی دل مردم رو به شورش میندازه و میره!
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
موفق باشید.[quote author=جواد احمدزاده link=topic=1659.msg9199#msg9199 date=1153424927]
این Truend هم میاد هر از گاهی دل مردم رو به شورش میندازه و میره!
[/quote]
نه به خدا هروقت باگ جدیدی میبینم که به مامبو مربوط میشه میام اینجا پست میدم که شاید مورد استفاده کسی قرار بگیره.
در ضمن دقت کنید اگه پی اچ پی به صورت cgi یا fastcgi ران شده باشه از طریقhtaccess. نمیشه ارزش رجیستر گلوبالز رو تغییر داد ولی اکثرا به صورت ماژول آپاچی نصب میشه و میتونید از راهکاری که آقای فیروزمندان ارایه دادن استفاده کنید.
موفق باشید.
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
[quote author=فیروزمندان link=topic=1659.msg9158#msg9158 date=1153373403]
ُسلام
برای حل این مشکل و Off کردن Register Global در سرورتون میتونید از روش زیر استفاده کنید :
یک فایل با نام
در Root سایتتون بسازید و کد زیر را در فایل قرار بدین . فایل را ذخیره کنید .
کد:
php_flag register_globals off
یا علی
[/quote]
یه پیشنهاد : این کد رو توی htaccess.txt بزارید ! و با مامبو تون ارائه بدید ضرری که نداره باعث بالاتر رفتن امنیت هم میشه !!!!
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
آقای فیروزمندان من اینا php_flag register_globals off
تو فایل.htaccess گذاشتم ولی سایت من دیگه کار نکرد ! چرا؟
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
چطوری شده؟
چه پیغامی به شما میده؟
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
در بعضی از هاست ها این مشکل وجود داره و بال تغییر رجیستر گلوبال یا برنامه ها اجرا نمیشه و یا درست کار نمیکنه. بهتره با هاشتینگتون تماس بگیرید و درخواست آف کردن رو بدید (خاموش و روشن کردن رجیستر گلوبال برای هر دومینی به صورت جداگانه امکان پذیر هست.
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
تشکر از راهنماییهاتون. من البته تو هاستینگم میتونم PHP Configuration فایل خودمم داشته باشم. اونجا هم که OFF کردم دیگه اصلا ویبسایت نمییاد... هیچ پیغامی نمیده ولی دیگه صفحه اول نمیاد !!!!!!!!!
چرا؟
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
اگه صفحه اول نیاد مگه صفحههای دیگه میاند ؟ ;D
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
ساقی خانم اولا شما اون دستورات رو کجای فایل htaccess. اضافه کردین؟ بین توابع ارسالی قبلی که نبوده؟
در مورد مسئله دومتون هم عرض کنم تنها تغییر یک تابع داخل php.ini شرط نیست توابع بسیاری باید تنظیم شوند.
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
اینها هیچ مشکلی ندارن ولی دو تا نکته یادت باشه؛
1- هیچ وقت به این راحتی فایل های به این مهمی رو بطور عمومی منتشر نکن،
2- اگر هم منتشر میکنی حداقل ببرشون توی فرمت Code تا راحت بشه اونا رو خوند!!
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
مرصی جواد جان.... ولی هنوز هم وقتی php_flag register_globals off را خاموش مینکم دیگه سایتم کار نمیکنه !
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
واقعا عجیبه! خوشحال میشم با مسئول سرورتون یه صحبتی کنم.
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
میشه یه Sample باسه فایل htaccess را اینجا بذارید؟ با php_flag register_globals off ؟؟
تشکر
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامب&
[quote author=فیروزمندان link=topic=1659.msg9158#msg9158 date=1153373403]
ُسلام
برای حل این مشکل و Off کردن Register Global در سرورتون میتونید از روش زیر استفاده کنید :
یک فایل با نام
در Root سایتتون بسازید و کد زیر را در فایل قرار بدین . فایل را ذخیره کنید .
کد:
php_flag register_globals off
یا علی
[/quote]
من خدمتتون عرض کردم که این به تنهایی کفایت نمیکنه. شما باید با مسوول سرور صحبت کنید و تقاضای تغییر وضعیت رجیستر گلوبال رو بهش بدید.
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
h[quote author=saqibarzani link=topic=1659.msg11142#msg11142 date=1155583543]
آقای فیروزمندان من اینا php_flag register_globals off
تو فایل.htaccess گذاشتم ولی سایت من دیگه کار نکرد ! چرا؟
[/quote]
احتمالا وب سرور شما APACHE 2 هستش.
تو آپاچی دو باید داخل <virtual> یا <directory> قرار بدید.
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
اینا میشه زیادتر توضیج بدید ؟ متشکرم.
احتمالا وب سرور شما APACHE 2 هستش.
تو آپاچی دو باید داخل <virtual> یا <directory> قرار بدید.
چطوری؟ کجا؟
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
<Directory /var/www/htdocs>
php_value register_globals 0
<Directory/>
مثلا این رو امتحان کن.
فقط دقت کن واسه این که کدها تو rtl درست نشون داده شه یکم دست کاری کردم همینو کپی پیست نکنی.
آدرس دایرکتوری رو هم هر چی بدی مثلا من دادم var/www/htdocs/ از اونجا به پایین تغییراتی که مشخص کردی اعمال میشه. شما میتونی تو پابلیک اچ تی ام ال بسازی بدی
</ Directory>
<Directory/>
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
trueend5 جان مرصی ولی مگه ما به این فایل دسترسی داریم ؟ باور نمیکنم..... بعدش من با CPanel و FTP نگاه کردم ندیدمش !
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
ساقی جان شما فقط در صورتی که سرور اختصاصی و یا VPS داشته باشی میتونی به این فایل ها در شاخه ای که دوست خوبمون گفتن برسید. در غیر اینصورت درخواستتون رو برای مدیر سرورتون بفرستید.
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
جواد جان من اگه یه ایمیل بفرستم چی بهش بگم ؟ که چی را زیاد کنه تو کدوم فایل و چرا؟
تشکر
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
بهشون بگید به دلایل امنیتی Register_global رو off کنن! بعد هم تغییراتی رو که دوست خوبمون trueend5 ذکر کردن رو براشون بفرستید.
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
آخه من off کردم توی PHP و .htaccess ولی دیگه سایتم کار نکرد ! :-\
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
خب فرق میکنه نهایتا تغییرات توی htaccess. و خود httpd.conf از یه ارجحیت و چگالی برخوردار نیستند. در ضمن مسئله اصلی اضافه کردن اون کد بین تگ های Directory هست که باید حتما بدرستی انجام بشن.
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
[quote author=saqibarzani link=topic=1659.msg11461#msg11461 date=1155825543]
trueend5 جان مرصی ولی مگه ما به این فایل دسترسی داریم ؟ باور نمیکنم..... بعدش من با CPanel و FTP نگاه کردم ندیدمش !
[/quote]
سلام
کدوم فایل ؟
من که اسم فایلی نیاوردم.
ولی در کل تو این شرایط بهترین راه همونطور که جناب احمدزاده گفتن تماس با پشتیبانی هاستتون هست
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
دوست عزیز علت از کار افتادن ایجاد فید بک مثبت در پروسس سرور هست. با هاستینگ تماس بگیرید و درخواست تغییر رو بدید.
-
Re: آسیب پذیری در چهار کامپوننت مرتبط با مامبو/جوملا
دوستان متشکرم از کمکهاتون... با هاستینگ تماس میگیرم ببینم چطوری میشه Off ش کرد......