امنیت

فناوری اطلاعات

September 14, 2024
11:45 شنبه، 24ام شهریورماه 1403
کد خبر: 173450

کشف آسیب‌پذیری بحرانی پیمایش مسیردر نرم‌افزار DataDiodeX

منبع: ماهر

DataDiodeX محصولی ازDataFlowX Technology است که برای ایجاد ارتباط یک‌طرفه و ایمن بین شبکه‌ها طراحی شده است. DataDiodeX به شبکه‌های حساس و حیاتی اجازه می‌دهد که داده‌ها را تنها در یک جهت از شبکه داخلی به خارجی انتقال دهند و از ورود هرگونه داده از خارج به داخل شبکه و نفوذهای سایبری جلوگیری می‌کند. اخیرا آسیب‌پذیری Path Traversal با شناسه CVE-2024-6445 وشدت ۱۰ در این نرم‌افزار شناسایی شده است که به مهاجم اجازه می‌دهد به دایرکتوری‌ها و فایل‌های سیستم خارج از محدوده‌ی مجاز نرم‌افزار دسترسی پیدا کند. این آسیب‌پذیری به دلیل عدم اعتبارسنجی صحیح ورودی‌هایی که مسیر فایل‌ها را تعریف می‌کنند، رخ می‌دهد. مهاجمان می‌توانند از این آسیب‌پذیری برای دسترسی غیرمجاز به فایل‌های حساس سیستم استفاده کنند و یا اطلاعات محرمانه‌ای را از سیستم استخراج کنند. اگر مهاجم به فایل‌هایی که شامل اسکریپت‌ها یا کدهای قابل اجرا هستند دسترسی پیدا کند، ممکن است بتواند کدهای‌مخرب را اجرا نموده و کنترل کامل سیستم را به دست‌گیرد.

محصولات تحت تاثیر
نسخه‌‌های قبل از 3.5.0 تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
فیلتر کردن ورودی‌ها: باید تمامی ورودی‌هایی که مسیر فایل را تعریف می‌کنند به درستی فیلتر و بررسی شوند تا کاراکترهای نامعتبر یا دستورات مربوط به تغییر مسیر مسدود شوند.
استفاده از توابع امن: برای دسترسی به فایل‌ها باید از توابعی استفاده شود که مسیرهای ورودی را بررسی کرده و فقط فایل‌هایی که در مسیرهای مجاز قرار دارند اجازه دسترسی داشته باشند.
محدود کردن دسترسی فایل‌ها: دسترسی به فایل‌های حساس باید محدود به کاربران یا برنامه‌هایی باشد که به آن‌ها نیاز دارند و سایر کاربران نباید به این فایل‌ها دسترسی داشته باشند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.