امنیت

سیستم‌عامل و نرم‌افزار

فناوری اطلاعات

October 26, 2019
15:56 شنبه، 4ام آبانماه 1398
کد خبر: 105226

هشدار مرکز افتا؛ شناسایی نقص امنیتی در نسخه‌های جدید زبان برنامه‌نویسی PHP

 
مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به شناسایی نقص امنیتی در نسخه‌های جدید زبان برنامه‌نویسی PHP هشدار داد که از این نقص برای تحت کنترل درآوردن سرورها سوءاستفاده شده است.
 
 به نقل از معاونت بررسی مرکز افتا، آسیب‌پذیری جدید اجرای کد از راه دور در زبان برنامه نویسی PHP سبب شده که از این نقص امنیتی اخیرا برای تحت کنترل درآوردن سرورها سوءاستفاده شود.
 
زبان PHP رایج‌ترین زبان برنامه‌نویسی است که برای ساخت وب‌سایت‌ها استفاده می‌شود. در این نرم افزار، آسیب‌پذیری با شماره CVE-۲۰۱۹-۱۱۰۴۳ ردیابی می‌شود و به مهاجمان اجازه می‌دهد تا با دسترسی به یک URL ساخته شده، دستوراتی را روی سرورها اجرا کنند.
 
بهره‌برداری از این آسیب‌پذیری به سادگی انجام می‌شود و کد اثبات مفهومی (PoC) آن به صورت عمومی در گیت‌هاب منتشر شده و در دسترس کاربران است.
 
طبق گفته کارشناسان امنیتی، اسکریپت PoC موجود در گیت‌هاب می‌تواند از طریق وب سرور مورد نظر وجود آسیب‌پذیری را بررسی کند و هنگامی که یک هدف آسیب‌پذیر شناسایی شود، مهاجم می‌تواند به سرور وب آسیب‌پذیر، درخواست دستکاری شده ارسال کند.
 
در این آسیب پذیری که وصله مربوط به آن نیز منتشر شده است، همه سرورهای مبتنی بر PHP تحت تأثیر قرار نمی‌گیرند و تنها سرورهای NGINX که ویژگی PHP-FPM آن‌ها فعال باشد آسیب‌پذیر هستند؛ برخی از ارائه‌دهندگان میزبانی وب این مولفه را به عنوان بخشی از محیط میزبانی PHP اضافه می‌کنند.
 
مرکز افتا تاکید کرد که با توجه به در دسترس بودن کد PoC و سادگی بهره‌برداری از این نقص، به صاحبان وب‌سایت‌ها توصیه می شود تنظیمات وب سرور را بررسی و نسخه PHP را در اسرع وقت به روز کنند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.