در تاریخ شنبه 20 خرداد ماه 1396 شرکت مندیپس تولید کننده ماژول های معتبر از حفره امنیتی در محصولات خود خبر داد که امکان آپلود فایل به کاربران غیر مجاز را می دهد این حفره امنیتی با آپدیت و بروز رسانی به اخرین نسخه محصولات برطرف میگردد. جهت اطلاع از جزئیات بیشتر با ما همراه باشید .

 

لازم به ذکر است که بیان کنیم وجود باگ و حفره امنیتی در هر نرم افزاری ممکن است بیش بیاد .

اما مهمترین و اصلی ترین موضوع پیش گیری از آسیب های احتمالیست که با ارائه آپدیت امکان جلوگیری از این مسئله به سادگی امکان پذیر است .

 

اما در صورت نادیده گرفتن این آپدیت ها ,خطراتی را به دنبال دارد. در این اطلاعیه قصد داریم تا با آموزش راه حل موقتی و دائمی که شرکت مندیپس به منتشر کرد, از آسیب پذیری احتمالی جلوگیری کنیم.

 

 

ترجمه اطلاعیه منتشر شده از سوی مندیپس :

آپلود فایل مخرب توسط کاربران غیرمجاز

 

آپدیت امنیتی بحرانی

کشف این باگ امنیتی در تاریخ 2017/06/09

 

مقدمه

بسیاری از ماژول شرکت مندیپس به مدیران و کاربران خاص اجازه ی آپلود فایل به می دهند.شرکت مندیپس حفره امنیتی ای را یافته است که به هکر یا هکر ها اجازه می دهد که فایل هایی را بر روی سایت شما آپلود کنند و باعث آسیب پذیری سایت شما و حتی باعث افشای اطلاعات شما شوند .در همین خصوص راه حل های را آماده کرده اند که می توان با آن از این باگ جلوگیری کرد .

 

شرح

این حفره امنیتی اجازه آپلود فایل را بدون ورود به محیط DNN را میدهد.
و در صورت تمایل شخص افراد سود جو و  هکر فایل آپلودی می تواند جایگزین فایل اصلی که داخل سایت شود و امکان دسترسی به تمام مدیریت و فایل های سایت را داشته باشند .

 

معرفی محصولاتی که این مشکل امنیتی در آن ها موجود است و سریعا باید بروز رسانی گردد .

    Live Campaign 1.0.0 till 3.9.5

    Live Content 3.0.0 till 6.0.5

    Live Forms 2.0.0 till 4.2.0

    Live Helpdesk 1.0.0 till 1.2. 1

    Live Utilities 1.0.0 till 1.0.8

    Porto 3.0.0 till 3.2.1

 

راه حل دائمی :

اگر از محصولات معرفی شده در این اطلاعیه نصب شده دارید سریعا به نسخه های زیر بروز رسانی نمایید .

با بروز رسانی مشکل رفع خواهد شد .

   Live Campaign 3.9.6

    Live Content 6.1.0

    Live Forms 4.3.0

    Live Helpdesk 1.3.0

    Live Utilities 1.1.0

    Porto 3.3.0

اگر این محصولات را از دی ان ان پلاس تهیه کرده اید می توانید به صورت رایگان به نسخه های درج شده بروز رسانی نمایید.

 

 

راه حل موقت :

اگر به هر دلیلی امکان بروزرسانی محصولات را ندارید حداقل هرچه سریع تر فایل ها موجود در مسیر های ذکر شده حذف کنید.

    /DesktopModules/LiveCampaign/Handlers/Upload.ashx

    /DesktopModules/LiveContent/Handlers/Upload.ashx

    /DesktopModules/LiveForms/Handlers/UploadHandler.ashx

    /DesktopModules/LiveUtilities/Handlers/Upload.ashx

    /DesktopModules/Mandeeps/Libraries/Common/Handlers/Upload.ashx

 

البته با این روش امکان آپلود مدیران در ماژول های ذکر شده از دسترس خارج خواهد شد تا زمانی که به آخرین نسخه بروز رسانی نمایید . اما در شرایطی که امکان بروز رسانی محیا نبود این راه حل موقتی می تواند مفید باشد.

 

 

 بهترین روش جهت ایمن سازی , بروزرسانی محصولات مذکور به آخرین نسخه معرفی شده می باشد.

 

 

 

مدیران و فعالان حوزه فناوری :

از مدیران فعال در حوزه فناوری اطلاعات و مدیران انفورماتیک سازمان ها و نهاد های دولتی و غیر دولتی و شرکت ها و همکاران محترم خواهشمندیم موارد امنیتی ذکر شده را رعایت بفرمایید تا شاهده حوادث ناخوشایندی نباشیم .

 

با تشکر.

 

 

/انتهای خبر .