استثمار جديد لثغرة curl في php 5-2-9

رووح القلوب

عضو جديد
20 مارس 2009
246
1
0
صدرت الثغرة 10/4 و منشورة بالمنتدى مع الاستثمار
http://securityreason.com/achievement_securityalert/61

انتشر ترقيعها ,, بحظر دالة curl_setopt

اذا وجدت الدالة محظورة بامكانك استخدام قريبتها curl_setopt_array



----------
اضافة

باكيج cURL اضافية وليست افتراضية في php لكنها شائعة و هذي الثغرة الثالثة فيها

ترقيعات الثغرة الرسمية لم تصدر
اجتهادات غالبية المبرمجين جاءت بحظر curl_setopt وحدها وهو غير كافي كما شاهدتم

الخيار المقترح


PHP:
حظر الدالة بشكليها curl_setopt_array و curl_setopt
حظر curl_exec وهو باهظ التكاليف وكافي امنيا لكن هناك استخدام كبير له في معظم السكربتات

مثال للسكربتات المهمة التي تستخدم هذه الباكيج , وورد برس


💕💕