فا

‫ اخبار

آسیب پذیری جدید PHP ، خطری برای Wordpress

محقق امنیت سایبری مرکز Secarma ، به تازگی یک #‫آسیب_پذیری بر روی زبان PHP منتشر کرده که بخش Installations سیستم مدیریت محتوا Wordpress را آسیب پذیر خواهد کرد. بر اساس گزارش منتشره، این آسیب پذی که از نوع Code Execution بوده در تاریخ 28 فوریه 2017 به تیم امنیتی وردپرس گزارش شده، اما تا به امروز این آسیب پذیری رفع نشده است.
این آسیب پذیری تنها سیستم مدیریت محتوا Wordpress را هدف نمی گیرد، چراکه آسیب پذیری در زبان برنامه نویسی PHP بوده و تمامی Application های PHP-based را تحت تأثیر خود قرار خواهد داد. این آسیب پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود دارد که همان عملکرد بازگرداندن String ها به PHP Object ها می باشد. از سال 2009 که اولین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت آمیز به ساختار Deserialization را منتشر کرد، بارها آسیب پذیری های مشابه و Exploit های آنها توسط روش های مختلف منتشر شده است که باعث حملات مختلف بر علیه سرورها و PHP Application ها شده است.
آسیب پذیری جدید منتشر شده باعث می شود که نفوذگر بتواند داده های مد نظر خود را بر روی سرور قربانی Upload کند. این خود باعث می شود که راهی برای فراخوانی phar:// را برای نفوذگر فراهم کند در نهایت امکان اجرای کدهای آلوده بر روی سرور قابل انجام خواهد بود. این آسیب پذیری بر روی پروسه عملکرد توابع thumbnail در سیستم مدیریت محتوا Wordpress اثر می گذارد و در صورت Upload فایلهای عکس آلوده بر روی سرور مد نظر، امکان Exploit کردن این آسیب پذیری برای نفوذگر فراهم می گردد. در تحقیقات اولیه علاوه بر Wordpress، سیستم مدیریت محتوا Typo3 و Contao هم دارای این آسیب پذیری هستند. شایان ذکر است که برای انجام این حمله به وردپرس، دو فایل متفاوت Payload ؛ یکی برای نسخه 4.9 و دیگری برای نسخه های پایین تر باید آماده گردد. بر خلاف وردپرس که تا این لحظه (آماده سازی این مطلب) به روز رسانی برای رفع آسیب پذری فوق ارائه نکرده است، تیم پشتیبانی Typo3 در آخرین به روز رسانی خود این آسیب پذیری را رفع نموده است.
این آسیب پذیری در هفته گذشته در دو کنفرانس BlackHat و BSides معرفی شده است. همچنین  بر روی کتابخانه TCPDF هم وجود دارد که برای کار کردن با فایلهای PDF در زبان PHP می باشد. برای جلوگیری از حمله بر علیه این CMS ها و کتابخانه های مشابه، به روز رسانی هایی که در چند روز آینده ارائه خواهند شد را حتما بر روی سامانه های خود اعمال نمائید.

دیروز، 10:45 برچسب‌ها: اخبار
هشدار مرکز ماهر در خصوص آسیب‌پذیری سرریز بافر بر روی بانک اطلاعاتی SQL SERVER

در روزهای اخیر #‫آسیب‌پذیری سرریز بافر بر روی #‫SQL_SERVER توسط شرکت مایکروسافت گزارش گردیده است. آسیب پذیری (CVE-2018-8273) درServer SQLاین اجازه را به حمله کننده می‌دهد تا بر روی سیستم قربانی با سطح دسترسی حساب Database Engine، به اجرای کد بپردازد. برای بهره‌برداری از این آسیب‌پذیری، حمله کننده می‌بایست یک درخواست SQLخاص را به سرویس‌دهنده ارسال کند.

مایکروسافت تنها روش جلوگیری از حمله توسط این آسیب‌پذیری را بروزرسانی محصول اعلام کرده است. نکته بسیار مهم این آسیب‌پذیری، وجود آن بر روی سرویس‌دهنده SQL Server 2017  لینوکس است. لذا لازم است اگر بر روی کانتینر‌های داکر خود از این سرویس استفاده کرده اید، آن را نیز به‌روز رسانی کنید.

وصله‌های امنیتی زیر توسط مایکروسافت به شرح ذیل برای این محصولات ارائه شده است.

 

نام محصول

لینک وصله امنیتی

Microsoft SQL Server 2016 for x64-based Systems Service Pack 1(KB44293801)

goo.gl/euP3JV

Microsoft SQL Server 2016 for x64-based Systems Service Pack 1 (CU)(KB4293808)

goo.gl/VWUY5P

 

Microsoft SQL Server 2016 for x64-based Systems Service Pack 2(KB4293802)

goo.gl/qQT5Gp

 

Microsoft SQL Server 2016 for x64-based Systems Service Pack 2 (CU)(KB4293807)

goo.gl/hC9qmM

 

Microsoft SQL Server 2017 for x64-based Systems RTM(KB4293803)

goo.gl/GFxs7W

 

Microsoft SQL Server 2017 for x64-based Systems RTM (CU)(KB4293805)

goo.gl/EEa9Vq

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

27 مرداد 1397 برچسب‌ها: اخبار
انتشار به روز رسانی مهم سیسکو جهت جلوگیری از حملات IKE Crypto

کمپانی #‫سیسکو به روز رسانی امنیتی مهمی را در تاریخ 13 آگوست 2018 منتشر کرده که این به روز رسانی برای سیستم عامل IOS و IOS XE خود می باشد و در بسیاری از محصولات سیسکو به کار می رود. این آسیب پذیری که با شماره شناسایی CVE-2018-0131 معرفی شده، یکی از حملات جدید cryptographic بر علیه پروتکل IKE می باشد که در IPSec مورد استفاده قرار می گیرد. معرفی این حمله جدید که به تازگی در مقاله ای با نام  The Dan­gers of Key Reuse: Prac­tical At­tacks on IPsec IKE  منتشر شده است، هفته ی آینده در بیست و هفتمین نشست امنیتی USENIX در شهر بالتیمور ایالت مریلند آمریکا صورت خواهد گرفت.
محققین اعلام کردند که پیاده سازی این حمله بر علیه پروتکل IKEv1 در Cisco با شماره شناسایی CVE-2018-0131، در Huawei با شماره شناسایی CVE-2017-17305 ، در Clavister با شماره شناسایی CVE-2018-8753 و در ZyXEL با شماره شناسایی CVE-2018-9129 معرفی خواهند شد. یکی نفز از این محققین که از دانشگاه Ruhr-University بوخوم آلمان و دو نفر دیگر از دانشگاه Opole لهستان هستند اعلام کردند که این آسیب پذیری ها را به سازندگان محصولات اطلاع داده اند که پاسخ سازندگان دستگاه های آسیب پذیر این بوده است که به روز رسانی هایی برای رفع این آسیب پذیری ها منتشر کرده اند.
در این میان که سیسکو بیشترین محصولات آسیب پذیر را دارا بوده است، مشخص شده که سیستم عامل IOS و IOS XE آسیب پذیر هستند که با شماره شناسایی CVE-2018-0131 معرفی شده است ، اما سیستم عامل نسخه IOS XR که به طور عمده تر در محصولات روترهای سیسکو مورد استفاده قرار می گیرد، به علت تفاوت در نوع کُدنویسی آن، آسیب پذیر نمی باشد. امروز سیسکو به روز رسانی برای هر دو سیستم عامل خود منتشر کرد و اعلام کرد که دستگاه های دارای دو سیستم عامل فوق که دارای تنظیمات احراز هویت rsa-encr هستند آسیب پذیر می باشند.
بر اساس توضیحات سیسکو، این آسیب پذیری از راه دور به نفوذگران احراز هویت نشده این اجازه را می دهد که Encrypted Nonces از یک نشست کاری رمزنگاری شده با استفاده از پروتکل IKEv1 را با موفقیت بدست بیاورند. علت وجود این آسیب پذیری، اشتباه در عملیات Decryption در نرم افزار پاسخ دهنده می باشد. نفوذگر می تواند با استفاده از یک متن رمزنگاری شده خاص که برای فرستادن به دستگاه دارای پروتکل IKEv1 طراحی شده است، اطلاعات مربوط به رمزنگاری RSA استفاده شده در آن پروتکل را بدست بیاورد. همچنین نفوذگر می تواند با بازآوری IKEv1 Nonces ها، دیتاهای رمزنگاری رد و بدل شده توسط پروتکل IPSec را که در اغلب ساختارهای VPN مورد استفاده قرار می گیرد را رمزگشایی کنند.
توصیه اکید به مدیران شبکه در سازمانها و شرکت ها می شود که سریعاً دستگاه های خود را که شامل این آسیب پذیری می شود به روز رسانی کنند.

26 مرداد 1397 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

به تازگی نسخه جدیدی از #‫باج_افزار GandCrab مشاهده شده است. نسخه 4.1.2 باج‌افزار معروف GandCrab  با تغییراتی قابل توجه منتشر شده است. از جمله این تغییرات می‌توان به استفاده از الگوریتم متفاوت رمزگذاری، الصاق پسوند KRAB به فایل‌های رمزگذاری شده، تغییر نام فایل اطلاعیه باج‌گیری و در دسترس قرار گرفتن یک سایت پرداخت جدید در شبکه ناشناس TOR اشاره کرد. در نسخه جدید از الگوریتم رمزگذاری Salsa20 استفاده می‌شوند. در بخشی از کدهای این نسخه نیز به دنیل برنشتاین خالق این الگوریتم اشاره شده و به نوعی از او تقدیر به‌عمل آمده است.
هنگامی که باج افزار GandCrab اجرا می شود، تمام شبکه را اسکن می کند تا تمام فایل هایی که می‌تواند رمزگذاری کند را آلوده کند.
هنگامی که فایلی را آلوده می کند پسوند KRAB. را به نام فایل رمزگذاری شده اضافه می کند.
به منظور بررسی اینکه آیا سیستم از قبل آلوده شده است یا نه و جلوگیری از اجرای دوباره ی فایل اجرایی باج افزار و از بین بردن دائمی باج افزار، یک فایل .lock با یک mutex ایجاد می کند.

دانلود پیوست

24 مرداد 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

فناوری امنیت سایبری #‫EDR  (پاسخ‌گویی و تشخیص نقاط پایانی)، نیاز به نظارت و پاسخ‌گویی مستمر به تهدیدهای امنیتی پیشرفته را برآورده می‌کند. در اینجا فهرستی از مهم‌ترین فناوری‌های EDR قابل توجه، آمده است.
EDR یک فناوری امنیت سایبری است که نیاز به نظارت و پاسخ مستمر به تهدیدهای امنیتی را برآورده می‌کند. این فناوری زیرمجموعه‌ای از فناوری امنیت نقاط پایانی  و بخش حساسی از وضعیت مطلوب امنیتی  است. EDR با سایر بسترهای حافظت نقاط پایانی (EPP)  مانند آنتی‌ویروس و ضدتروجان  متفاوت است. آن‌ها تمرکز عمده خود را بر توقف خودکار تهدیدها در مرحله پیش از اجرا   نگذاشته‌اند ولی EDR یک مشاهده و بینش درستی از نقاط پایانی  را فراهم می‌کند تا به تحلیل‌گرها در جهت کشف، بررسی و پاسخ‌گویی به تهدیدات بسیار پیشرفته و حملات گسترده‌تر که در نقاط پایانی متعدد گسترش می‌یابند، مساعدت کند. با این وجود بسیاری از ابزارهای تشخیص و پاسخ‌گویی نقاط پایانی، EDR را با EPP ترکیب می‌کنند.
2    گستردگی EDR
بازار EDR با دلیلی منطقی، به سرعت در حال رشد است. نقض‌های (breaches) امنیتی بیش از زمان‌های دیگر در حال افزایش است و اغلب از طریق نقاط پایانی، به شبکه راه می‌یابند. تنها چیزی که جهت رخنه و ورود مخفیانه موردنیاز است یک کاربر با اطلاعات کم در زمینه‌های امنیتی و افرادی که از آن‌ها سوءاستفاده کنند، است.

دانلود پیوست

21 مرداد 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

شرکت Sophos  دریکی از جدیدترین فعالیت‌های خود یک آنالیز دقیقی از گروه بسیار خطرناک #‫باج_افزار، که تحت عنوان SamSam نام‌گذاری شده، ارائه کرده است. آزمایشگاه FortiGuard به‌عنوان عضوی از Fortinet  با اتحادیه تهدید سایبری (CTA), کلیه شاخص‌های مرتبط با این تسخیر (IoCs ) را قبل از انتشار، برای اطمینان از اینکه مشتریان FortiGuard از آخرین افشا، محافظت می‌شوند, دریافت کرده است. باج‌افزار SamSam، برای اولین بار در اواخر سال 2015 به‌عنوان یک خطر با مشخصه ریسک پایین، ظاهر شد. ولی از آن موقع به‌شدت گسترش‌یافته است و طیف وسیعی از سازمان‌ها، مؤسسات بهداشت و درمان و آموزش‌وپرورش و دولت‌های محلی را مورد هدف قرار داده است. Sophos برآورد کرده است که تا به امروز، گروه مسئول SamSam تقریباً شش میلیون دلار از قربانیان خود اخاذی کرده است. SamSam با کمک یک استراتژی متمرکز جهت بهره‌برداری از آسیب‌پذیری‌ها و سپس به‌صورت انتقال جانبی در طول شبکه به‌سمت هدف شناسایی‌شده، ماشین‌های قفل‌شده را مورد هدف قرار می‌دهد. جهت جلوگیری از تشخیص، این حملات معمولاً در زمان حساب‌شده، بعد از ساعات کاری، انجام می‌شود.

دانلود پیوست

20 مرداد 1397 برچسب‌ها: گزارشات تحلیلی
اطلاعیه مرکز ماهر در خصوص آسیب پذیری منع سرویس (Denial of Service) در هسته سیستم‌های عامل Linux

هسته سیستم عامل Linux از نسخه 4.9 در بخش IPv4 در قسمت ورودی TCP داری آسیب‌پذیری منع سرویس (DOS) می‌باشد. آسیب‌پذیری مذکور در توابع tcp_collapse_ofo_queue و tcp_prune_ofo_queue وجود داشته که به ازاء تمامی بسته‌های ورودی به سیستم فراخوانی می‌شوند.
آسیب پذیری فوق با شماره‌های CVE-2018-5390 در لینوکس و CVE-2018-6922 در BSD منتشر شده است.
باتوجه به پراستفاده و فراگیر بودن استفاده از هسته سیستم‌عامل‌های آسیب‌پذیر در انواع مختلف برندها و تجهیزات و سرویس دهنده‌ها و امکان اتصال به شبکه‌ها و زیرساخت‌های ارتباطی, توصیه می‌گردد پس از انتشار وصله‌های امنیتی، سیستم‌عامل هر یک از برندها، تجهیزات و سرویس‌دهنده‌ها توسط کلیه استفاده کنندگان از این نرم افزار به‌روز رسانی گردد.
لینک زیر برخی از برندهای دارای آسیب پذیری و پراستفاده را لیست نموده است:
https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=962459&SearchOrder=4

منبع خبر:
https://www.kb.cert.org/vuls/id/962459

20 مرداد 1397 برچسب‌ها: اخبار
انتشار به روز رسانی مهم برای Drupal

به تازگی نسخه ی جدیدی از سیستم مدیریت محتوا #‫DRUPAL منتشر شده است که آسیب پذیری خطرناکی را برطرف کرده که نفوذگران توسط آن آسیب پذیری می توانستند کنترل سایت قربانی را در دست بگیرند. این آسیب پذیری با شماره CVE-2018-14773 بر روی یک کامپوننت از کتابخانه third-party که دارای نام Symfony HttpFoundation می باشد منتشر شده است که این کامپوننت در core دروپال مورد استفاده قرار می گیرد و بر روی نسخه های 8.x تا قبل از نسخه 8.5.6 این آسیب پذیری وجود دارد. به دلیل استفاده فریم ورک Symfony در بسیاری دیگر از محصولات و پروژه های WebApp، وجود این آسیب پذیری امکان نفوذ به بسیاری از دیگر پروژه های معروف WebApp و CMS های معروف را هم ممکن می سازد.
بر اساس توضیحات تیم پشتیبانی Symfony، این آسیب پذیری از دور زدن تمهیدات امنیتی در بخش HTTP Header ها آغاز می شود. نفوذگر می تواند از راه دور، بوسیله ی X-Original-URL ویا X-Rewrite-URL های ساخته شده مخصوصی توسط خود نفوذگر که بخشی از مقادیر HTTP Header می باشد، باعث لغو شدن آدرس در Request URL بشود و در نتیجه سیستم هدف یک URL دیگر را ارائه می کند که این خود باعث دور زدن محدودیت های دسترسی ها در Cache و Web Server قربانی می گردد.
دروپال در نسخه نهایی 8.5.6 خود این آسیب پذیری را رفع نموده است. همچنین این آسیب پذیری در نسخه های Symfony که در ادامه مشاهده می فرمائید رفع شده است:
•    2.7.49
•    2.8.44
•    3.3.18
•    3.4.14
•    4.0.14
•    4.1.3
تیم دروپال پس از گزارش این آسیب پذیری، در ادامه تحقیقات خود موفق به کشف آسیب پذیری مشابه در فریم ورک Zend شد که مجدد این آسیب پذیری هم در کتابخانه های Diactoros که در هسته Drupal هستند مشاهده شده که این تیم نام URL Rewrite vulnerability را بر روی آن نهاده اند و با شماره ZF2018-01 در سایت فریم ورک Zend منتشر شده است. بر اساس توضیحات این سایت، در نسخه های زیر این آسیب پذیری رفع گردیده است:
•    zend-diactoros, 1.8.4
•    zend-http, 2.8.1
•    zend-feed, 2.10.3
مدیران شبکه و سرورها توجه داشته باشند که آسیب پذیری فوق در سیستم Drupal با موفقیت Exploit شده و توسط نفوذگران در حال استفاده می باشد. توصیه اکید می گردد که سیستم مدیریت محتوا Drupal خود را هرچه سریعتر به روز رسانی نمایید

17 مرداد 1397 برچسب‌ها: اخبار
آشنایی با پایگاه داده CouchDB و آسیب پذیری های شناخته شده وراهکارهای رفع آنها

معرفی CouchDB

CouchDBیک پایگاه داده‌ی پیشرفته #‫NoSqlاست که از محصولات شرکت Apacheمی‌باشد. درحقیقت، CouchDBبرای اولین بار در سال 2005 منتشر شد و بعد از آن در سال 2008، امتیاز آن توسط Apacheخریداری شد.

در هنگام کار با حجم عظیم داده‌ها که نیاز به سازماندهی داشته باشند، استفاده از رویکردهای ساختار یافته‌ی RDBMSمانند SQLمشکلاتی از قبیل پایین آمدن کارایی به دنبال دارند. NoSQLیک چارچوب متفاوت از پایگاه داده با کارایی بالا و پردازش سریع در مقیاس های بزرگ ارائه می‌دهد.

 

چارچوب NoSQL، از زبان پرس و جوی ساخت یافته SQLیا مدل داده رابطه‌ای استفاده نمی‌کند و از مزیت‌های مهم آن می‌توان به مقیاس‌پذیری و مدیریت داده‌های کلان اشاره داشت.

 

پایگاه داده‌ی CouchDBاز نوع پایگاه داده سندگرا (Document Base) است. این نوع از پایگاه داده‌ها، مجموعه‌ای از اسناد هستند که به زبان JSONذخیره شده و برای وب سایت‌ها و برنامه‌های تحت وب مناسب می‌باشند. این اسناد به صورت مجموعه‌ای از کلید/مقدار هستند که از طریق کلید می‌توان به مقدار آن دسترسی داشت و ویژگی‌های اعتبار سنجی داده‌ها، پرس و جو و تأیید هویت کاربر را دارند.

 

این پایگاه داده به زبان Erlangنوشته شده و در سیستم عامل‌های مختلف قابل اجرا می‌باشد. CouchDBاز پروتکل HTTPبرای دسترسی و به روز رسانی اسناد استفاده می‌کند و برای کار با داده‌ها از زبان JavaScriptبهره می‌برد.

 

در CouchDBبه طور پیش فرض پورت 5984  برای دسترسی در نظر گرفته شده است.

 

امنیت و اعتبارسنجی

در هنگام نصب پایگاه داده، به صورت پیش فرض کلیه کاربرانی که به پایگاه داده دسترسی دارند، نقش ادمین را دارند و ادمین می‌تواند کاربرانی را با نقش مدیر یا کاربر عادی با دسترسی‌های مختلف ایجاد کند. با استفاده از توابع موجود می‌توان اعتبارسنجی اسناد را انجام داده تا ورودی‌های کاربران هنگام به روز رسانی و یا ایجاد اسناد بررسی شود.

 

تابع اعتبار سنجی که در پایگاه داده با نام (Validate_doc_update) شناخته می‌شود، سه پارامتر ورودی دریافت می‌کند:

  1. NewDoc: نسخه جدید سند
  2. oldDoc: نسخه فعلی سند
  3. userCtx: اطلاعات مربوط به کاربر مورد نظر

خروجی تابع اجازه به روز رسانی و یا عدم امکان به روز رسانی سند مورد نظر را مشخص می‌کند.

 

آسیب‌پذیری‌های شناخته شده

  • CVE-2017-12635: CouchDBبه کاربران اجازه می‌دهد که اسکریپت اعتبارسنجی اسناد را با جاوا اسکریپت ایجاد کنند. این اسکریپت‌ها هنگامی که یک سند ایجاد یا به روز می‌شود، به طور خودکار ارزیابی می‌شوند.

 

CouchDBمدیریت حساب‌های کاربری را از طریق یک پایگاه داده ویژه به نام users_ مدیریت می‌کند. هنگامی که کاربری در پایگاه داده CouchDBایجاد شده و یا تغییر داده می‌شود (معمولاً با عمل PUTبه /_users/org.couchdb.user:your_username، انجام می‌شود)، سرور تغییرات پیشنهادی را با یک تابع validate_doc_update  مقایسه می‌کند تا مطمئن شود که فرد درخواست‌کننده مجوز انجام عملیات مورد نظر را داشته باشد (به عنوان مثال قصد تغییر مجوز دسترسی خود به ادمین سیستم را نداشته باشد).

 

دلیل آسیب‌پذیری مورد نظر این است که بین پارسر Jscript JSONو پارسر داخلی به نام jiffyکه توسط CouchDBاستفاده می‌شود، اختلاف وجود دارد (در صورت وجود دو داده با کلید یکسان، jiffyهر دو مقدار را ذخیره خواهد کرد ولی پارسر جاوا اسکریپت، فقط آخرین مقدار را ذخیره می‌کند).

 

به عنوان مثال در صورتی که شئ {“guest”:”1”,”guest”:”2”}را داشته باشیم:

    • Erlang
  • jiffy:decode("{\"guest\":\"1\", \"guest\":\"2\"}")
  • {[{<<"guest">>,<<"1">>},{<<"guest">>,<<"2">>}]}

 

    • JavaScript
  • JSON.parse("{\"guest\":\"1\", \"guest\": \"2\"}")
  • {guest: "2"}

 

با این حال تابع برگرداننده برای نمایش در CouchDBتنها مقدار اول را باز می‌گرداند:

% Within couch_util:get_value

lists:keysearch(Key, 1, List).

 

در حالتی که برای یک کاربر دو مجوز تعریف شود، در Erlangتنها مجوز اول دیده می‌شود و جاوا اسکریپت، مجوز دوم را در نظر می‌گیرد. از آن جایی که تمامی منطق بررسی مجوز دسترسی و تعیین اعتبار در سمت Erlangصورت می‌گیرد، به همین دلیل می‌توان برای کاربر دو مجوز با کلید یکسان که یکی مقدار ادمین و دیگری مقدار خالی داشته را ایجاد کرد. در این حالت در هنگام تایید مجوز، مجوز دوم یعنی مقدار خالی، بررسی می‌شود و در حال دریافت مجوز، مجوز اول یعنی دسترسی ادمین بررسی می‌شود و می‌توان به پایگاه داده دسترسی داشت.

 

این آسیب‌پذیری در ورژن‌های قبل از 1.7.0و از 2.xتا 2.1.0وجود دارد.

 

  • CVE-2017-12636: CouchDBآسیبپذیری شناخته شده‌ای دارد که تا زمانی که فرد دارای امتیازهای مدیریتی است اجازه می‌دهد تا از راه دور به اجرای کد بپردازد. کاربران با مجوز ادمین در CouchDBمی‌توانند سرور پایگاه داده را از طریق HTTP (S)پیکربندی کنند. برخی از گزینه‌های پیکربندی عبارتند از مسیرهای در سطح سیستم عامل که توسط CouchDBاستفاده می‌شوند. این موضوع به کاربران ادمین اجازه می‌دهد در Apache CouchDBنسخه‌ی قبل از 1.7.0و 2.xقبل از 2.1.1به اجرای دستورات دلخواه پوسته، از جمله دانلود و اجرای اسکریپت از اینترنت، به عنوان کاربر CouchDBبپردازند.  

پیشنهادها و راه‌کار‌های رفع آسیب‌پذیری

  • به روز رسانی پایگاه داده به نسخه ی 1.7 یا 2.1.1 به بالا

 

  • تغییر فایل local.ini(معمولاً در /etc/couchdb/قرار دارد) و اضافه کردن خط زیر به بخش  [httpd]:

config_whitelist = []

 

در این حالت API _configکاملاً غیر فعال می‌شود. در صورت نیاز به تغییر تنظیمات در CouchDBباید این تغییر به صورت دستی در فایل local.iniانجام شود. این راه حل برای رفع آسیب‌پذیری CVE-2017-12635قابل استفاده است.

 

  • جلوگیری از ایجاد کاربر توسط افراد غیر ادمین: در CouchDBبه صورت پیش فرض، افراد ناشناس می‌توانند یک کاربر جدید در پایگاه داده ایجاد کنند. برای جلوگیری و یا محدود کردن این کار، می‌توان به سند _design/_authیک محدودیت اضافه کرد. در این سند بخش‌هایی برای محدود کردن عملکردهای کاربران وجود دارد. باید در تابع validate_doc_updateدر ابتدای بخش !is_server_or_database_admin(userCtx, secObj)خط زیر را برای جلوگیری از انجام عملیات توسط کاربرانی که ادمین نیستند، اضافه کرد.

throw({forbidden : 'Users can only be created by server or db admins in this specific CouchDB installation'})

 

در این حالت، تابع validate_doc_updateبه صورت زیر خواهد شد:

17 مرداد 1397 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام Horsukeخبر می‌دهد. این باج‌افزار که از خانواده باج‌افزار Scarabمی باشد به نام Scarab-Horsiaنیز شناخته می شود و پس از رمزگذاری فایل‌ها پسوند.horsuke@nuke.africaرا به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. بررسی­ها نشان می­دهد که فعالیت این باج ­افزار در ماه می سال 2018 میلادی شروع شده و به نظر می­رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می­باشد. این باج‌افزار از الگوریتم رمزنگاری AESاستفاده می‌کندو از طریق هرزنامه و سرویس دسترسی از راه دور(RDP) وارد سیستم قربانی می‌شود.

دانلود پیوست

15 مرداد 1397 برچسب‌ها: گزارشات تحلیلی
صفحات: 1 2 3 4 5 ... » »»