آسیب پذیری خطرناک مودل

منتشر شده در دسته : تازه ها

آسیب پذیری خطرناک مودل افشا و در CVE-2017-2641 ثبت شد. یک آسیب پذیری حیاتی در مودل برنامه متن باز مبتنی بر PHP که در واقع یک سیستم مدیریت آموزش می باشد یافت شده است. این برنامه در مدارس و دانشگاهها پیاده سازی شده و به صورت گسترده ای استفاده می شود. دانشگاههای بزرگی همچون دانشگاه ایالت کالیفورنیا , دانشگاه آکسفورد و دانشگاه استنفورد از مودل به منظور ارایه سرفصل دروس , نمره ها و دیگر داده های خصوصی اعضا استفاده می کنند.

آسیب پذیری خطرناک مودل

مشکل یافت شده یک آسیب پذیری تزریق اسکیوال مبتنی بر Cloud می باشد که به نفوذگر اجازه داده تا یک کد PHP را بر روی سرور دانشگاه اجرا کند. مودل جزئیات مرتبط با این باگ را در CVE-2017-2641 منتشر کرده است و هشدارهای لازم را داده است. این آسیب پذیری توسط یک کاربر عضو شده عادی قابل بکارگیری می باشد. سناریوهای مشابهی قبلا در نسخه های قبلی مودل اتفاق افتاده بود ولی تنها توسط کاربران مدیر (Managers) و ادمین ها (admins) و از طریق سرویس های وب قابل بکارگیری بود.

کاری که مدیران آیتی دانشگاهها و مدارس بایستی انجام دهند بروزرسانی و پچ به نسخه های بروز می باشد . متاسفانه بی توجهی از سمت مدیران آیتی به مسائل به این مهمی خسارات جبران ناپذیری را به همراه خواهد داشت.

#Moodle ۳.۲.۲, ۳.۱.۵, ۳.۰.۹ and 2.7.19 are now available!

Find out more: https://t.co/9jcS3qcJ83

Or to download: https://t.co/i00mq1zwY8 pic.twitter.com/zhTKKQhYSV

تا زمانیکه پچ انجام نشود آسیب پذیری تقریبا بر روی همه نسخه های مودل از جمله ۳.۲ , ۳.۲.۱ , ۳.۱ تا ۳.۱.۴ , ۳.۰ تا ۳.۰.۸ , ۲.۷.۰ تا ۲.۷.۱۸ و دیگر نسخه های پشتیبانی نشده باقی خواهد ماند. این آسیب پذیری از جمله خطاهای منطقی برنامه نویسی می باشد. مودل پروژه ای عظیم با دو میلیون خط کد می باشد. در نتیجه توسعه دهنده های مختلف بخش های مختلفی از برنامه را می نویسند حتی بخش هایی که با یکدیگر تعامل دارند توسط برنامه نویسان مختلفی توسعه پیدا می کند. همین موضوع موجب شده تا خطاهای منطقی زیادی در برنامه یافت شود.

خوشحال می شویم دیدگاههای خود را در میان بگذارید * فرصت پاسخگویی به سوالات در بلاگ وجود ندارد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *