نحوه رفع حفره امنيتي موجود در (Invision Power Board (IPB

نسخه ي جديد از قوي ترين ديكشنري آنلاين جهان با ويژگي هاي قدرتمند عرضه شد ! Babyl نقشه راه مایکروسافت برای توسعه Visual Studio مايكروسافت امتياز High Heat را خريد سرویس جدید Hotmail آغاز به کار نمود گوشي جديد با دوربين 12.2 مگاپيكسلي آموزش Asp.net ( قسمت سوم) معرفي يك سايت search دقيق (حتي بهتر از گوگل!) حافظه فلاش 32 گیگابایتی فيلتر يا ضد فيلتر برنده کيست؟ كشف جالب دانشمندان درباره سياره پلوتو شركت گوگل يك شبكه اجتماعي مجازي را خريد ساخت يك رايانه كه با قدرت تفكر كنترل مي‌شود سيسكو قصد دارد مشخصات WLAN را به سوئيچ های Catalyst خود اضافه كند HP درباره خطرات نرم افزار پرينترهاي رنگي ليزرجت هشدار داد ماه آينده؛ اولين رايانه جهان مجهز به درايو Blu-ray عرضه مي شود Security 1.2 ذخيره كردن پسوردها ناهماهنگي درفيلترينگ ، سايتهاي علمي و نرم‌افزاري را نيز قرباني مي‌كند اعلام‎ نتايج‎ دانشگاه‎ علمي‎ كاربردي‎ نخستين ايراد نسخه آزمايشي نهايي ويندوز 7 كشف شد بزرگترين سايت دانشگاهي پاكستان هك شد

تبــليغـــات

شركت فن آوري اطلاعات كيانا
اولين مركز امنيت نرم‌افزار در ايران و ارائه دهنده كاملترين مجموعه ابزارهاي امنيتي جهت محافظت از نرم‌افزارهاي شما (جهت برنامه‌هاي مالتي مديا، VCD و ...)

یک شنبه,13 اسفند 1382 (تعداد دفعات خوانده شده:3499)

توسط: بهروز کمالیان Behrooz_Ice@ashiyane.com

بتازگی آسیب جدیدی در forum برنامه (Invision Power Board (IPB کشف شده که به User ها به صورت غیر مجاز اجازه Inject کردن دستورات Sql را می دهد. این آسیب در فایل sources/calendar.php این فروم معروف وجود دارد که در نهایت به هکرها اجازه دسترسی غیر مجاز را به پنل مدیریت می دهد.
برنامه Invision Power Board که به IPB معروف است سیستم forum حرفه ای است که با استفاده از زبان برنامه نویسی PHP نوشته شده و از دیتابیس SQL برای مدیریت فایل ها - برنامه ها و Account ها در فروم خود استفاده می کند. یکی از امکانات این برنامه محیط Control Panel بسیار قوی است که برای Administratorتهیه شده است که به مدیران سایت‌ها امکان و اجازه نصب و مدیریت board خود را به آسانی می دهد. در نهایت مهمترین ویژگی این forum نسبت به فروم های دیگری مثل vBulletin رایگان بودن آن است که باعث محبوبیت این فروم همانند phpNuke و phpBB در بین مدیران سایت ها شده است و تمامی این ویژگی ها باعث شده كه تعداد زیادی از مدیران سایت ها از فروم IPB استفاده كنند.

شما می توانید کد اکسپلویت این آسیب SQL Injection را از http://www.ashiyane.net/forums/showthread.php?s=&threadid=2583 دریافت کنید که البته باید برای دیدن این تاپیک در سایت آشیانه عضو باشید. برای اصلاح کردن این آسیب در برنامه IPB خود به سایت http://www.PHPSecure.info مراجعه کنید و یا از آدرس http://forums.invisionpower.com/index.php?act=ST&f=1&t=108786 برنامه Patch ارائه شده از سوی سایت IPB را دریافت کنید. همچنین می توانید به صورت دستی برای از بین بردن این آسیب در فایل sources/calendar.php خط کد زیر را پیدا کنید:

------------------------------------------------------------------------
$this->chosen_month = ( ! intval($ibforums->input['m']) ) ?
$this->now_date['mon'] : $ibforums->input['m']; $this->chosen_year = ( ! intval($ibforums->input['y']) ) ?
$this->now_date['year'] : $ibforums->input['y'];
------------------------------------------------------------------------

و این خط را با کد زیر عوض کنید:

------------------------------------------------------------------------
$this->chosen_month = ( ! intval($ibforums->input['m']) ) ?
$this->now_date['mon'] : intval($ibforums->input['m']); $this->chosen_year = ( ! intval($ibforums->input['y']) ) ?
$this->now_date['year'] : intval($ibforums->input['y']);
------------------------------------------------------------------------

پیشنهاد ما هم به شما این است که اگر از این فروم برای سایت خود استفاده می کنید هرچه سریع تر این آسیب را اصلاح کنید تا forum شما از دسترس و نفوذ هکرها در امان بماند.
موفق باشید.

نسخه قابل چاپ برگشت

عناوين مرتبط

1- شناسايي حفره جديد امنيتي در سيستم عامل اپل شنبه,21 مهر 1388
2- مايكروسافت دو حفره خطرناك مرورگر خود را برطرف مي‌كند پنج شنبه,3 مرداد 1388
3- گوگل دو حفره خطرناك امنيتي در كروم را برطرف كرد دوشنبه,30 تير 1388
4- حفره امنيتي اينترنت اكسپلورر كاربران را تهديد مي‌كند دوشنبه,23 تير 1388
5- حفره امنيتي جديدي در سيستم گرافيكي ويندوز شناسائي شد سه شنبه,17 تير 1388
6- مايكروسافت نسبت به حفره امنيتي خطرناك هشدار داد سه شنبه,17 تير 1388
7- مایکروسافت از حفره امنیتی در DirectX خبر داد جمعه,23 خرداد 1388
8- کشف حفره امنيتي «بسيار خطرناک» در نرم‌افزار PowerPoint شنبه,18 فروردين 1388
9- شناسايي حفره خطرناك در نرم افزارهاي پي دي اف جمعه,18 اسفند 1387
10- بسته به روز رسانی فایرفاکس حفره های امنیتی را می پوشاند چهارشنبه,17 اسفند 1387
11- مايكروسافت وجود حفره‌ي امنيتي در ويندوز 7 را انكار كرد. جمعه,16 بهمن 1387
12- تمامي نسخه‌هاي اينترنت اكسپلوره حفره امنيتي دارند. جمعه,25 آذر 1387
13- حفره جدید در تمام نسخه های IE چهارشنبه,24 آذر 1387
14- دسترسی رایگان به سرویس رادیویی Sirius با یک حفره امنیتی پنج شنبه,5 آذر 1387
15- ماکروسافت و Oracle مشغول پرکردن حفره های امنیتی پنج شنبه,29 مهر 1387

نظرات كاربران

تبـليغــات

تبليغات داخلي ...

تعرفه و نحوه سفارش تبليغات در شبكه فن آوري اطلاعات ايران

مرکز فن آوری اطلاعات ایران - ارائه خدمات حرفه ای میزبانی وب و ثبت دامنه در ایران با بیش از 8 سال سابقه درخشان

قويترين مجموعه ابزارهاي امنيتي جهت محافظت نرم‌افزار

حاميان ما ...

بزرگترين پايگاه فناوري اطلاعات ايران!
جستجوگر خودکار
مرکز تبلیغات اینترنتی ایران
مرکز داده ملی
مرکز راهنما
مرکز فن آوری اطلاعات ایران
خدمات پیام کوتاه (SMS) ایران
جستجوگر اخبار خودکار
Iran IT Network
IranITN
شبکه
شبكه فناوري اطلاعات
VPS و سرور اختصاصی
فرمانداری مشهد
فناوري اطلاعات ايران
هاستینگ و نمایندگی