بنام خداوند بی همتا

کشف آسیب پذیری جدید در Cpanel

New vulnerability discovered in Cpanel

با سلام و آرزوی قبولی طاعات و عبادات عزیزان

دوستان که توی کار هاست طراحی سایت هستند و یا سایت دارند حتما با کنترل پنل cpanel آشنایی دارند و در یه توضیح مختصر بگم cpanel بزرگترین کنترل پنل جهان با آدرس اینترنتی http://cpanel.net جهت مدیریت سرور هاست.(جنبه عمومی خبر)

توجه داشته باشید که در مورد باگ کلی گویی خواهم کرد ولی کسانی که علم این کار رو دارند متوجه قضیه شده و به آسیب پذیری دست پیدا خواهند کرد البته بزودی فیلم آموزشی این آسیب پذیری رو نیز در سایت قرار خواهم داد شایان ذکر است این آسیب پذیری در هیچ سایت امنیتی گزارش نشده است (دیگه از ما گذشته خود نمایی کنیم) البته به تاریخ پست توجه کنید که فردا کسی رو نوشت برداشت و بنام خودش ثبت کرد بدونین باگ مال فرزاد بوده (امروز 1390/05/11 روز سه شنبه ساعت 9:35:21 میباشد)

در این آسیب پذیری هکر با یک یوزر معمولی (هاست) میتواند کل لاگ های مربوط به apache FTP و Error ها رو ببینه .بدیهی هستش که اطلاعات بسیار حیاتی در این لاگها یافت میشه .این باگ بر اثر عدم رعایت مجوز بندی مناسب بوجود آمده است.

نکته ها :

1.آسیب پذیری بر روی آخرین نسخه cpanel تست شده است .

2.جهت نفوذ به لاگهای هاست های همجوار فهمدین نام دامنه و یوزر الزامی است

با تشکر فرزاد شریفی

چند تا از دوستان پرسیده بودن که چرا باگ رو گزارش نمی کنی منم در جواب بگم از سال 2007 تنها یک باگ اونم تو سرویس بلاگ رو ریپورت دادم کلا با اینکار مخالفم در مورد فیلم هم در مورد اکسپلویت کردن به مشکل برخوردم حل شد چشم 1390/05/11