said
11-02-2013, بتوقيت غرينيتش 01:58 AM
السلام عليكم ورحمه الله وبركاته
ظهرت اليوم ثغرة جديده فى phpMyAdmin من الإصدار 3.4.11.1 وحتى الإصدار 3.5.2.2
نوع الثغرة: XSS
رابط المصدر: phpMyAdmin - Security - PMASA-2014-4 (http://www.phpmyadmin.net/home_page/security/PMASA-2014-4.php)
الترقيع لمن يستخدمون السى بانل:
1- فتح الملف الموجود فى المسار التالى:
رمز Code:
pico /usr/local/cpanel/base/3rdparty/phpMyAdmin/tbl_create.php
والبحث عن التالى: (Ctrl + w)
رمز Code:
<a href="sql.php' . PMA_generate_common_url($tbl_url_params)
السطر كامل تجده بهذا الشكل:
رمز Code:
$new_table_string .= '<a href="sql.php' . PMA_generate_common_url($tbl_url_params) . '">'. $table . '</a>';
قم بتغييره إلى:
رمز Code:
$new_table_string .= '<a href="sql.php' . PMA_generate_common_url($tbl_url_params) . '">'. htmlspecialchars($table) . '</a>';
ما تغير هو عمل Filtering للمتغير table عن طريق دالة htmlspecialchars
لماذا لم يتم إستخدام الدالة htmlentities بدلاً منها؟
وذلك بسبب أن الداله htmlentities تقوم بتخريب اللغة العربية فى بعض الحالات
وبهذا تم ترقيع الثغره التى تم إصدارها بشكل مؤقت حتى تقوم السى بانل بعمل ذلك فى التحديث updateات القادمة
شكراً لكم
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
ظهرت اليوم ثغرة جديده فى phpMyAdmin من الإصدار 3.4.11.1 وحتى الإصدار 3.5.2.2
نوع الثغرة: XSS
رابط المصدر: phpMyAdmin - Security - PMASA-2014-4 (http://www.phpmyadmin.net/home_page/security/PMASA-2014-4.php)
الترقيع لمن يستخدمون السى بانل:
1- فتح الملف الموجود فى المسار التالى:
رمز Code:
pico /usr/local/cpanel/base/3rdparty/phpMyAdmin/tbl_create.php
والبحث عن التالى: (Ctrl + w)
رمز Code:
<a href="sql.php' . PMA_generate_common_url($tbl_url_params)
السطر كامل تجده بهذا الشكل:
رمز Code:
$new_table_string .= '<a href="sql.php' . PMA_generate_common_url($tbl_url_params) . '">'. $table . '</a>';
قم بتغييره إلى:
رمز Code:
$new_table_string .= '<a href="sql.php' . PMA_generate_common_url($tbl_url_params) . '">'. htmlspecialchars($table) . '</a>';
ما تغير هو عمل Filtering للمتغير table عن طريق دالة htmlspecialchars
لماذا لم يتم إستخدام الدالة htmlentities بدلاً منها؟
وذلك بسبب أن الداله htmlentities تقوم بتخريب اللغة العربية فى بعض الحالات
وبهذا تم ترقيع الثغره التى تم إصدارها بشكل مؤقت حتى تقوم السى بانل بعمل ذلك فى التحديث updateات القادمة
شكراً لكم
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
