امنیت

فناوری اطلاعات

September 26, 2013
20:11 پنجشنبه، 4ام مهرماه 1392
کد خبر: 57692

به‌روزرسانی امنیتی آپاچی

در نسخه تازه منتشر شده آپاچی مسائلی برطرف شده است که نویسندگان نرم‌افزار آنها را به عنوان مشکلات مهم برچسب‌گذاری کرده بودند.
 
 
نسخه جدید چارچوب کاری آپاچی روز جمعه منتشر شد. در این نسخه دو مشکل که باعث نگرانی توسعه دهندگان بود، برطرف شده است.
 
بر این اساس Apache Struts یک چارچوب کاری منبع باز محبوب برای توسعه‌دهندگان برنامه‌های کاربری وب مبتنی بر جاواست و توسط بنیاد نرم افزار آپاچی نگهداری می‌شود. در نسخه تازه منتشر شده آپاچی مسائلی برطرف شده است که نویسندگان نرم‌افزار آنها را به عنوان مشکلات مهم برچسب گذاری کرده بودند.
 
مکانیزم Dynamic Method Invocation که به احتمال زیاد دارای آسیب پذیریهای امنیتی است در نسخه جدید آپاچی به طور پیش فرض غیرفعال شده است. این ویژگی در نسخه‌های پیشین فعال بوده است اما کاربران توصیه کرده‌اند که درصورت امکان غیرفعال شود.
 
با وجود این تغییر، نویسندگانی که برنامه‌های کاربردی را نگهداری می‌کنند که مبتنی بر DMI هستند در صورتی که آپاچی را به نسخه 2.3.15.2 ارتقاء دهند، ممکن است لازم باشد که برنامه‌ها را دوباره بسازند.
 
هم چنین در این نسخه مساله‌ای در ارتباط با پیشوند "action:" برطرف شده است که می‌توانست در فرم‌ها برای الصاق اطلاعات به دکمه‌ها مورد استفاده قرار بگیرد. این مساله در Struts نسخه 2 می تواند تحت شرایط خاصی برای دور زدن محدودیتهای امنیتی مورد سوء استفاده قرار بگیرد.
 
ماه گذشته محققان شرکت امنیتی ترند میکرو هشدار دادند که مهاجمانی از چین در حال استفاده از یک کد سوء استفاده در برابر آسیب پذیری‌های Struts هستند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.