آپاچی برای آسیبپذیریShindig اصلاحیه منتشر کرد
Shindig که چارچوبی برای برنامههای کاربردی تحت وب است، روز گذشته به اصلاح یک آسیبپذیری پرداخت که بنا به ادعای محققان نوعی شکاف بحرانی افشای اطلاعات بوده است.
بنیاد نرمافزاری آپاچی نسخهی جدید Shindig را منتشر کرد؛ Shindig که چارچوبی برای برنامههای کاربردی تحت وب است، روز گذشته به اصلاح یک آسیبپذیری پرداخت که بنا به ادعای محققان نوعی شکاف بحرانی افشای اطلاعات بوده است.
ظاهراً این مشکل نسخهی PHP از Shindig 2.5.0 را تحت تأثیر قرار داده و با ابزار رندر نرمافزار سروکار دارد. این ابزار در معرض آسیبپذیری تزریق مدخل XML بیپایان1 قرار دارد. بنا به اظهارات بنیاد OWASP، این آسیبپذیری مربوط به یک مدخل خارجی است که حاوی دادههای آلودهای است که میتواند باعث افشای اطلاعات مهم شود و سایر اثرات سامانهای دیگر را در پی داشته باشد.
آسیبپذیری مورد بحث که توسط توسعهدهندهی نرمافزاری ژاپنی، Kousuke Ebihara کشف شده، به یک نویسندهی ابزارهای مخرب اجازه میدهد مسیرهایی را برای دسترسی به محتوای کارگزار رندرکنندهی ابزار2 تعبیه کند، کارگزاری که محتوا را در iframe ابزار نمایش میدهد.
توصیهی وارد به توسعهدهندگان این است که در اولین فرصت بهروزرسانی لازم به نسخهی 2.5.0 از Shindig را انجام داده و به این ترتیب به آسیبپذیری مورد نظر خاتمه دهند.
آن دست از کاربرانی که پیادهسازی PHP از Shindig را در اختیار دارند قطعاً به دنبال بارگیری این بهروزرسانی هستند، این کاربران میبایست یک کارگزار وب را برای نسخهی PHP نصبشده داشته باشد تا به این طریق بتوانند بارگیری را انجام دهند.
Shindig نیز مانند سایر نرمافزارهای آپاچی یک پروژهی متنباز و شامل جاوااسکریپت است که به کاربران اجازه میدهد میزبانی نرمافزارهای کاربردی OpenSocial را روی وبگاههای خود بر عهده بگیرند. چارچوب Shindig که در اصل توسط گوگل توسعه پیدا کرده از سال ۲۰۰۷ تحت کنترل و حمایت آپاچی در آمده است.
