افشاء کامل شرکت سی پنل از حفره های امنیتی

۰۷ مرداد ۱۳۹۵

حفره های امنیتی سی پنل

افشاء کامل شماره TSR-2016-0004 شرکت سی پنل از حفره های امنیتی که تا کنون کشف و برطرف گردیده است.

SEC-130

لاگ فایل های آپاچی موقع ایجاد دارای مشکل حذف مجوز هستند

مشکل امنیتی: Domlogs  سی پنل به صورت ذاتی دارای مشکل حذف مجوزها بوده است.

این مشکل توسط تیم امنیتی سی پنل کشف و در نسخه های زیر برطرف گردیده:

۱۱.۵۸.۰.۴
۱۱.۵۶.۰.۲۷
۱۱.۵۴.۰.۲۶
۱۱.۵۲.۶.۲

Cpanel security

SEC-133

صفحه Purchase and Install an SSL Certificate در WHM لیست تمام دامین های سرور را نمایش می داد

مشکل: ریسلر در صفحه Purchase and Install an SSL Certificate به جای اینکه فقط لیست دامین های خود را ببیند می توانست تمامی دامین های موجود در سرور را مشاهده کند.

این مشکل توسط تیم امنیتی سی پنل کشف و در نسخه های زیر برطرف گردیده:

۱۱.۵۸.۰.۴
۱۱.۵۶.۰.۲۷

SEC-134

مالکیت فایل به توسط rearrangeacct به nobody  تغییر می کرده است.

مشکل: این روش برای تخصیص مجدد مالکیت فایل به مقدار nobody در بخش rearrangeacct کاربر اتکر می تواند با استفاده از این قابلیت به مزایای محدودی دست پیدا کند.

این مشکل توسط تیم امنیتی سی پنل کشف و در نسخه های زیر اصلاح گردیده:

۱۱.۵۸.۰.۴
۱۱.۵۶.۰.۲۷

SEC-137

تنظیم دایرکتوری pear tmp موقع نصب php

مشکل: وقتی که pear  نصب میشد دایرکتوری اصلی تحت پوشه /tmp بود. بقیه RPMها از pear  استفاده کرده و فایلهای tmp قابل پیش بینی می نوشتند. سپس دایرکتوری tmp  به پوشه روت منتقل می شد و از دسترسی هر کسی به این فایل جلوگیری می کرد.

این مشکل توسط تیم امنیتی سی پنل کشف و در نسخه های زیر برطرف گردیده است:

۱۱.۵۸.۰.۴
۱۱.۵۶.۰.۲۷
۱۱.۵۴.۰.۲۶
۱۱.۵۲.۶.۲

SEC-138

مشکل : با ترکیبی از  Site Templates  و Boxtrapper API calls امکان ایجاد یک فایل php  و قرار دادن آن در دایرکتوری home وجود کاربر وجود داشت.

این مشکل در نسخه های زیر برطرف گردید:

۱۱.۵۸.۰.۴
۱۱.۵۶.۰.۲۷

SEC-139

Session handling  نامناسب برای کاربران اشتراکی

مشکل: مکان حافظه اشتراکی نشست (session) برای اپلیکشن های تحت وب php که تحت cpsrvd  اجرا می شدند، دارای پیکربندی نادرست بودند ، و به بعضی از آبجکت های php امکان اتک را می داد

این مشکل در نسخه های زیر برطرف گردید:

۱۱.۵۸.۰.۴
۱۱.۵۶.۰.۲۷
۱۱.۵۴.۰.۲۶

SEC-142

مشکل: تحت بعضی از پیکربندی های خاص، CGI PHP handler می توانست اسکریپت های php را برای یوزر و گروه های مختلف اجرا کند.

این مشکل در نسخه های زیر کشف و رفع گردیده است:

۱۱.۵۸.۰.۴
۱۱.۵۶.۰.۲۷
۱۱.۵۴.۰.۲۶
۱۱.۵۲.۶.۲

۵/۵ - (۱ امتیاز)
Facebook twitter linkedin