مهم :دوباگ خطرناک و حیاتی در litespeed : همکاران litespeed خود را بروز رسانی کنند.
با سلام
۲ هفته پیش یکی از همکاران ۲ تا باگ امنیتی با درجه اهمیت بالا در litespeed پیدا کردند که بلافاصله این باگ ها به litespeed گزارش شده است و دیروز نسخه جدیدی litespeed منتشر شده است که باگ های امنیتی ذکر شده را دارا نمی باشد.
۲ باگ امنیتی به شرح ذیل می باشد:
1-LiteSpeed Web Server - Symlink Race Condition Vulnerability --- بلایی که بعد از symlinkifownermatch بر سر cpanel و آپاچی اومد الان گریبان گیر litespeed شده
Proof of Concept در مورد این باگ طی روز های آینده منتشر خواهد شد.
2- LiteSpeed Web Server - Privilege Escalation Vulnerability
Proof of Concept در مورد این باگ طی روز های آینده بعد از بروز رسانی اکثر هاستینگ ها منتشر خواهد شد.
باگ اول که همون symlink معروفه
یاگ دوم هم باعث میشه در صورتی که از suexec استفاده نکنید . نفوذ گر می تواند از ارتقای سطح دسترسی به root داده و سپس .....
لطفا هرچه سریع تر به نسخه 4.2.5 بروز رسانی نمایید.
لینک تایید در سایت litespeed :
Release Log - LiteSpeed Tech
پاسخ : مهم :دوباگ خطرناک و حیاتی در litespeed : همکاران litespeed خود را بروز رسانی کنند.
عذر میخام کمی در مورد suexec توضیح میدید و طریقه نصب ... کنترل پنل دایرکت ادمین هست
پاسخ : مهم :دوباگ خطرناک و حیاتی در litespeed : همکاران litespeed خود را بروز رسانی کنند.
suEXEC Support - Apache HTTP Server
خدمت شما تعریف بعدشم بصورت دیفالت این حالت نصب میشه در دایرکت ادمین
به اپاچی این توانایی رو میده که برنامه های سی جی ای رو تحت یوزری غیراز یوزری که اپاچی رو ران کرده اجرا شن
که امنیت بیشتری رو بدنبال خواهد داشت
پاسخ : مهم :دوباگ خطرناک و حیاتی در litespeed : همکاران litespeed خود را بروز رسانی کنند.
درود
مشکل فوق با محدود کردت دسترسی perl - cgi - python برای فولدر /home و همینطور ownership صحیح برای /var/www/html تا حد زیادی حل خواهد شد
پاسخ : مهم :دوباگ خطرناک و حیاتی در litespeed : همکاران litespeed خود را بروز رسانی کنند.
دقایقی پیش ورژن جدید دیگری منتشر شد که لایت اسپید تاکید به اپدیت کرده
New update release 4.2.6-ent is available, please download.