分类

标签

归档

cPanel安全更新通知

BlogEditor 发表于星期六, 12/08/2012 - 11:21发表在cPanel/WHM0条评论

cPane&WHM版本 11.30.7.4,11.32.5.15,11.34.0.11已经修复了多个安全问题,现在可以下载和安装这些版本。

安全问题如下:

Perl的可存储模块支持Perl数据结构的序列化与反序列化。cPanel&WHM中的此功能是用于缓存数据到磁盘,且在处理器之间转移数据的。在很多区域,这种缓存和进程间通信是跨越分离边界的。一个本地的恶意用户可以使用此行为,将代码注入序列化的数据结构,这样便允许了代码执行和权限扩大的可能性。

Perl的YAML::Syck模块功能与可存储模块的功能相似。之前cPanel&WHM中的YAML::Syck版本允许序列化数据在反序列化时进入任意包。这可被用于在对象析构函数中执行不安全的行为。

以前cPanel&WHM中的Locale::Maketext版本遭受来自 _compile()功能的两个缺陷,_compile()功能允许已经完成身份验证的用户通过提供特制的翻译短语来执行任意代码。

阅读全文