تم الاعلان مؤخرا عن مجموعة مشاكل امنية في لوحة التحكم الاشهر لمواقع الانترنت (Cpanel) واغلب هذه المشاكل هي مشاكل امنية وثغرات تسبب خرقا امنية في العادة للانظمة واغلبها تم تصنيفه بـ مهم (Important) راجع تصنيفات درجات الخطورة لمعرفة معنى مهم…وباختصار انها مجموعة الثغرات او المشاكل التي تسمح للمستخدمين على السيرفر بالقفز عن الصلاحيات المزوده لهم او التي تسمح لمستخدمين خارجيين لا يملكون اي صلاحيات برؤية بيانات تتطلب صلاحيات معينة او اي مشكلة تخول مستخدمين محليين او خارجيين من اجراء اغراق للخدمة (denial of service). وللعلم ان التصنيف مهم هو ثاني تصنيف في الخطورة بناء على تصنيفات الخطورة في السي بنل لهذا يجب اخذ هذه المشاكل الامنية والثغرات على محمل الجد.
والحل للتخلص من هذه المشاكل هو بالتاكد من ترقية السي بنل للاصدار المناسب والتالية هو ما تم الاعلان عنه:
رقم القضية: 71121
تتعلق بتطبيق Squirrelmail الذي يستخدم كويب ميل في لوحة السي بنل لقراءة وارسال رسائل البريد الالكتروني للحسابات المستضافة على السيرفر.
المشكلة الامنية هي ان نسخة Squirrelmail تقوم بتخزين كلمات المرور في ملفات بصيغة غير مشفرة (cleartext format) ضمن ملفات الجلسة وهذه الملفات تحفظ في مجلد /tmp/ بصلاحية 600 (قراءة للمالك فقط).
هذه المشكلة تم حلها في الاصدارات التالية للسي بنل:
- 11.39.5 او اعلى
- 11.38.1.13 او اعلى
- 11.36.1.15 او اعلى
- 11.34.1.25 او اعلى
- 11.32.6.17 او اعلى
رقم القضية: 72157
مشكلة امنية تتعلق عند ايقاف الحسابات بالسي بنل. حيث ان السي بنل تحتوي على دوال تقوم بايقاف الحسابات التي تتعدى الحد المسموخ به من الموارد كمعدل تحويل البيانات وعملية الايقاف هذه تتضمن التعديل على بعض الملفات في مجلد home الخاص بالمستخدم الذي تم ايقافه. وقد وجد مكتشف الثغره ان هذه الالية تسمح للمستخدم الداخلي (local user) الذي ينفذ عملية الاختراق والذي تم ايقاف حسابه بواسطه هذه الالية من التلاعب ببعض الملفات الموجودة خارج مجلد الـ home الخاص به.
هذه المشكلة تم حلها في الاصدارات التالية للسي بنل:
- 11.39.5 او اعلى
- 11.38.1.13 او اعلى
- 11.36.1.15 او اعلى
- 11.34.1.25 او اعلى
- 11.32.6.17 او اعلى
رقم القضية: 71573
مشكلة امنية تتعلق بالمستخدم البائع (reseller) في السيرفرات التي تعمل بالدي ان اس الموزع (cluster dns)، حيث ان مكتشف الثغرة لاحظ انه في حال تفعيل الدي ان اس الموزع (clustered dns) من خلال السي بنل فان اي يوزر يحمل خاصية الريسلر مع ميزة clustering سوف يستطيع التعديل على مجال دي ان اس اي (dns zone) لاي نطاق حتى وان كان لا يتبع له.
هذه المشكلة تم حلها في الاصدارات التالية للسي بنل:
- 11.39.5 او اعلى
- 11.38.1.13 او اعلى
- 11.36.1.15 او اعلى
- 11.34.1.25 او اعلى
- 11.32.6.17 او اعلى
رقم القضية: 71625
مشكلة امنية تتعلق بالمستخدم البائع (reseller) حيث تمكن المشكلة في ان اي مستخدم يحمل صلاحية الريسللر مع صلاحية park-dns يستطيع الوصول والتحكم الى كامل معلومات الدي ان اس للنطاقات في النظام وبالتالي التعديل على حقول الدي ان اس لاي نطاق في النظام حتى وان كانت تلك النطاقات ليست تحت حسابه كريسلر.
هذه المشكلة تم حلها في الاصدارات التالية للسي بنل:
- 11.39.5 او اعلى
- 11.38.1.13 او اعلى
- 11.36.1.15 او اعلى
- 11.34.1.25 او اعلى
- 11.32.6.17 او اعلى
رقم القضية: 71577
مشكلة عند شراء وتركيب شهادات الحماية عن طريق السي بنل من Trustwave. حيث تمكن المشكلة ان المستخدم الريسلر الذي يحمل صلاحية ssl او ssl-buy يستطيع شراء شهاداة حماية من Trustwave للتركيب على النظام وهذا يؤدي الى انشاء ثغره امنية تسمح للمستخدم البائع بالتحكم بملفات النظام التي لا يوجد له صلاحية التحكم بها بالشكل الطبيعي.
هذه المشكلة تم حلها في الاصدارات التالية للسي بنل:
- 11.39.5 او اعلى
- 11.38.1.13 او اعلى
- 11.36.1.15 او اعلى
- 11.34.1.25 او اعلى
- 11.32.6.17 او اعلى
وهذا وقد لحق الاعلان عن هذه الثغرات دعوة من السي بنل لكل مدراء الانظمة بضرورة التاكد من تحديث السي بنل على سيرفرتهم الى الاصدارات الاحدث. علما بان الاصدارات التالية من السي بنل لا تحتوي على الثغرات المذكورة اعلاه حيث تم علاجها قبل الاعلان عن هذه الثغرات
- 11.39.5 او اعلى
- 11.38.1.13 او اعلى
- 11.36.1.15 او اعلى
- 11.34.1.25 او اعلى
- 11.32.6.17 او اعلى
لهذا تاكد من ان اصدار السي بنل لديك يحمل الرقم المذكور او اعلى.
مراجع ومصادر
- TSR-2013-0008 Disclosure: http://cpanel.net/tsr-2013-0008-disclosure
- Security Levels: http://docs.cpanel.net/twiki/bin/view/AllDocumentation/SecurityLevels
