|
|
Подозрение на серьезную уязвимость Множественные уязвимости (PHP) |
|
Описание |
|
|
Обнаружено несколько критических уязвимостей в PHP версий 4 и 5 : различные варианты удаленного выполнение команд, переполнение буфера и разнообразная утечка чувствительной информации. Уязвимые версии: PHP до версии 4.3.10 PHP до версии 5.0.3 |
|
|
Решение |
|
|
Установите последнюю версию: http://www.php.net/downloads.php |
|
|
Ссылки |
|
|
CVE (CAN-2004-1018): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1018 CVE (CAN-2004-1019): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1019 CVE (CAN-2004-1063): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1063 CVE (CAN-2004-1064): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1064 Bugtraq (Bid 11964): http://www.securityfocus.com/bid/11964 http://www.hardened-php.net/advisories/012004.txt |
|
|
|
Уязвимость Незащищенная передача данных |
|
Описание |
|
|
Обнаружены формы, использующиеся для передачи важных данных на сервер в незащищенном виде. Список форм: Все детали этой уязвимости отображаются только в коммерческой версии . Протокол HTTP является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети. |
|
|
Решение |
|
|
Использовать защищенный протокол SSL 3.0 или TLS 1.0 для передачи важной информации на сервер. |
|
|
|
Уязвимость Межсайтовый скриптинг (XSS) |
|
Описание |
|
|
Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д. Запрос для выполнения атаки: Все детали этой уязвимости (имя скрипта, строка запроса и ответ сервера) отображаются только в коммерческой версии . |
|
|
Решение |
|
|
Запретить использование этого скрипта или программно исправить ошибку. |
|
|
Ссылки |
|
|
http://www.cgisecurity.com/articles/xss-faq.shtml http://www.cert.org/advisories/CA-2000-02.html http://support.microsoft.com/default.aspx?scid=kb;EN-US;q252985 http://httpd.apache.org/info/css-security/apache_specific.html |
|
|
|
Уязвимость Доступ к директориям на просмотр |
|
Описание |
|
|
Директории доступные для просмотра: /manual/ /img/ /files/ /demos/ /video/ /wallpapers/ /3champ/ /4champ/ /161CupSpring2007/ /icons/ /support/ /photo/ /forum/uploads/ /files/cheating-death/ /files/configs/ /files/maps/ /demos/3champ/ |
|
|
Решение |
|
|
Закрыть доступ к директориям для просмотра, если он действительно не нужен. |
|
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
