به نقل از «تسنیم»

سیستم مدیریت محتوای دروپال بروزرسانی‌های حیاتی منتشر کرد

تاریخ انتشار: ۱ بهمن ۱۳۹۷ | کد خبر: ۲۲۴۶۲۲۳۴

دو ‫آسیب‌پذیری بحرانی در سیستم مدیریت محتوای دروپال کشف و البته بروزرسانی‌هایی برای حل آنها منتشر شده است. ۰۱ بهمن ۱۳۹۷ - ۱۶:۳۲ اجتماعی علم و تکنولوژی نظرات - اخبار اجتماعی -

به گزارش خبرنگار علمی باشگاه خبرنگاران پویا؛ در پی بروز دو آسیب‌پذیری سیستم مدیریت محتوای دروپال، گفته می‌شود یکی از این آسیب‌پذیری‌ها مربوط به تزریق شیء در کتابخانه PEAR Archive_Tar است که برخی پیکربندی‌های دروپال را تحت تأثیر قرار می‌دهد و اما آسیب‌پذیری دوم از نوع اجرای کد راه دور است و از PHP نشأت می‌گیرد.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

آسیب‌پذیری تزریق شیء

دروپال از کتابخانه Archive_Tar عرضه شده توسط PEAR استفاده می‌کند؛ به تازگی یک بروزرسانی امنیتی برای یک آسیب‌پذیری این کتابخانه ارائه شده است که برخی پیکربندی‌های دروپال را تحت تأثیر قرار می‌دهد.

آسیب‌پذیری مذکور با شناسه CVE-2018-1000888 در کلاس Archive_Tar نهفته است.

مهاجم می‌تواند یک فایل مخرب tar بسازد و مسیر آن را به شکل phar://[path_to_malicious_phar_file] به تابع Archive_Tar::extract بدهد؛ با این کار، unserialization اتفاق می‌افتد.

با استفاده از تزریق شیء می‌توان تابع destruct کلاس بارگذاری شده PHP را فراخوانی کرده و حذف فایل دلخواه را سبب شد.

فایل phar نوعی فایل آرشیو است که برای بسته‌بندی اپلیکیشن‌های PHP مورد استفاده قرار می‌گیرد.

اجرای کد راه دور

پیاده‌سازی stream wrapper برای phar که بطور توکار در PHP وجود دارد، دچار یک آسیب‌پذیری کد راه دور است که با استفاده از لینک‌های نامطمئن phar:// فعال می‌شود.

برخی از کدهای دروپال (core، contrib و custom) ممکن است تحت تأثیر این آسیب‌پذیری باشند.

در بروزرسانی دروپال .phar به لیست پسوندهای خطرناک اضافه شده است، در نتیجه هر فایلی با این قالب در یک فیلد فایلی بارگذاری شود، به طور خودکار به فایل متنی .txt تبدیل می‌شود.

همچنین برای PHP نسخه 5.3.3 به بالا، پیاده‌سازی پیش‌فرض PHP با یک پیاده‌سازی توسط دروپال جایگزین شده و در نسخه‌هایPHP پایین‌تر، به طور پیش‌فرض phar stream wrapper غیرفعال شده است.

راه‌حل

بنابراین لازم است Drupal Core را به آخرین نسخه بروزرسانی کنید؛ اگر از دروپال نسخه 7 با PHP 5.2 یا PHP 5.3.0-5.3.2 استفاده می‌کنید و نیاز دارید که phar stream wrapper را فعال کنید، بهتر است نسخه PHP را ارتقاء دهید.

کشف آسیب‌پذیری‌های گسترده در سامانه‌های اطلاعاتی شرکت مخابرات ایران

انتهای پیام/

R1012190/P/S2,1313/CT1 واژه های کاربردی مرتبط حمله هکری

منبع: تسنیم

کلیدواژه: حمله هکری حمله هکری

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت www.tasnimnews.com دریافت کرده‌است، لذا منبع این خبر، وبسایت «تسنیم» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۲۴۶۲۲۳۴ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

بروزرسانی قوانین اسکار ۲۰۲۵؛ از اهدای جایزه بهترین موسیقی فیلم به ۳ آهنگساز تا تغییر نام برخی از جوایز

شورای برگزاری آکادمی اسکار قوانین جدید جوایز و مقررات کمپین را برای مراسم اسکار ۹۷ که در ۲ مارس برگزار می‌شود، تصویب کرد.

به گزارش گروه فرهنگی خبرگزاری دانشجو، تغییرات قابل توجهی در دسته امتیازات اصلی اسکار ایجاد شده است. حالا حداکثر ۳ آهنگساز به شرط آنکه سهم قابل توجهی در موسیقی فیلم داشته باشند، می‌توانند تندیس اسکار را دریافت کنند.

قوانین قبلی آهنگسازان را ملزم می‌کرد که کارشان را به صورت گروهی (یک باند یا اکیپ) به آکادمی ارسال کنند. براساس آن قانون جان باتیست، ترنت رزنور و آتیکوس راس برندگان اسکار موسیقی انیمیشن (روح) در سال ۲۰۲۰ فقط یک تندیس دریافت کردند.

قوانین جدید اسکار فهرست نهایی نامزد‌های دریافت جایزه اسکار را از ۱۵ عنوان به ۲۰ عنوان رسانده است؛ فهرست نهایی نامزد‌های دریافت جایزه اسکار در اواخر دسامبر و قبل از شروع دوره رای‌گیری رسمی در میان نامزدها، اعلام می‌شود.

دوره رای‌گیری رسمی در میان نامزد‌ها در ژانویه شروع می‌شود.

آکادمی اسکار از این به بعد دیگر سالن‌های درایو _ این (ماشین‌رو) را برای پخش فیلم‌های اسکار مناسب نمی‌داند؛ در سال ۲۰۲۰ و پس از همه‌گیری ویروس کرونا تصمیم گرفته شده بود که فیلم‌های اسکار به صورت موقتی در سالن‌های درایو _ این پخش شوند، زیرا سینما‌های سرپوشیده بسته شده بودند. آکادمی اسکار در همان سال به پلتفرم‌های پخش جهانی و وی ا دی‌ها اجازه داده بود که فیلم‌های اسکار را پخش کنند.

براساس قوانین جدید اسکار یک فیلم برای آنکه به عنوان بهترین فیلم اسکار شناخته شود، باید طبق شرایطی که برای اکران فیلم‌ها در سال ۲۰۲۳ اعلام شد، اکران و پخش شده باشد. یعنی فیلمی به عنوان بهترین فیلم اسکار انتخاب و معرفی خواهد شد که در مرحله مقدماتی به مدت یک هفته در یکی از ۶ بازار ایالات متحده آمریکا اکران شده و سپس در ۴۵ روز متوالی و غیر متوالی در ۱۰ بازار از ۵۰ بازار برتر ایالات متحده آمریکا به نمایش گذاشته شده باشد.

فیلم‌هایی که طبق برنامه‌ریزی‌ها پس از تاریخ ۱۰ ژانویه ۲۰۲۵ اکران می‌شوند، باید برنامه‌های اکرانشان توسط آکادمی اسکار تائید شود و تا ۲۴ ژانویه ۲۰۲۵ اکرانشان تکمیل شود.

علاوه بر این تولیدکنندگان فیلم‌هایی که می‌خواهند جایزه بهترین فیلم اسکار را دریافت کنند، باید فرم ورود به استاندارد‌های نمایندگی را به آکادمی ارسال کنند، زیرا اثرشان باید حداقل ۲ مورد از ۴ استاندارد‌های تعریف شده را داشته باشد. همچنین به تولیدکنندگان فیلم‌ها توصیه می‌شود که قبل از فرارسیدن تاریخ اولین نمایش مقدماتی فیلم‌هایشان برای دریافت گواهینامه علامت پی جی‌ای درخواست دهند.

در دسته فیلمنامه، ارسال فیلمنامه نهایی برای بررسی نسخه اصلی یا اقتباسی الزامی است.

فیلم‌های پویانمایی که برای دریافت جایزه بهترین فیلم بلند بین‌المللی واجد شرایط باشند، می‌توانند انیمیشن بلند در نظر گرفته شوند.

شرایط تعیین شده برای فیلم‌های واجد شرایط برای دریافت جایزه بهترین فیلم بلند بین‌المللی از ۱ نوامبر ۲۰۲۳ تا ۳۰ سپتامبر ۲۰۲۴ به روزرسانی شد.

تغییراتی هم در جوایز فرمانداران ایجاد شده است مثلا جایزه یادبود ایروینگ جی. تالبرگ که به تهیه‌کنندگان خلاقی که به صورت مستمر کار‌های با کیفیت انجام می‌دهند، داده می‌شد، همان تندیس اسکار خواهد بود. این جایزه تا به امروز به شکل نیم‌تنه سنتی تالبرگ بود؛ آخرین دریافت‌کنندگان جایزه تالبرگ کاتلین کندی و فرانک مارشال در سال ۲۰۱۸ بودند.

تعریف جایزه بشر دوستانه ژان هرشولت نیز به این صورت اصلاح شده است که (به فردی در صنعت سینما داده می‌شود که از طریق تلاش‌های بشردوستانه برای ارتقای رفاه انسانی و کمک به اصلاح نابرابری‌ها، اعتباری را برای صنعت سینما به ارمغان آورده باشد.)

در نهایت ۲ جایزه از جوایز علمی و فنی تغییر نام دادند: جایزه گوردون‌ای ساویر حالا (جایزه یک عمر دستاورد علمی و فناوری) است. جایزه جان آ. بونر هم به (جایزه خدمات علمی و فنی) تغییر نام داده است.

یک فیلم برای بررسی در آکادمی اسکار باید از ۱ ژانویه تا ۳۱ دسامبر ۲۰۲۴ اکران شود.