یک آسیبپذیری امنیتی با شناسه CVE-2023-46851 و شدت 8.8 در Apache Allura شناسایی شده است. در این آسیبپذیری به دلیل اینکه Allura Discussion و Allura Forum در وارد کردن (importing) مقادیر URL مشخص شده در پیوستها (attachments) محدودیتی اعمال نمیکنند، مدیران پروژه میتوانند به راحتی عمل ایمپورت کردن را انجام دهند. در نتیجه Allura میتواند به اطلاعات حساسی از جمله فایلهای محلی دسترسی پیدا کند و آنها را بخواند. دسترسی به فایلهای داخلی میتواند منجر به سوء استفادههای دیگری از جمله سرقت سشن یا اجرای کد از راه دور شود.
محصولات تحت تأثیر
این آسیبپذیری Apache Allura نسخههای 1.0.1 تا 1.15.0را تحت تأثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت نسبت به ارتقاء Apache Allura به نسخه 1.16.0 اقدام نمایند.
- اگر قادر به ارتقاء Apache Allura نبوده و یا مایل به داشتن حداکثر امنیت در Apache Allura هستید، در فایل پیکربندی ini. تنظیمات زیر را انجام دهید:
disable_entry_points.allura.importers = forge-tracker, forge-discussion
همچنین جهت نصب وابستگیهای به روز شده (updated dependencies)، دستور زیر را اجرا کنید:
pip install -r requirements.txt --no-deps --upgrade --upgrade-strategy=only-if-needed
سپس paster ensure_index development.ini در Allura dir را اجرا کنید.
- این نسخه Python نسخههای 3.8 تا 3.11 را پشتیبانی میکند. در صورت تغییر پایتون به نسخه جدید، باید یک محیط جدید مجازی پایتون بسازید و pip install ... را در آن اجرا کنید و سپس از آن برای اجرای Allura استفاده کنید.
- اگر از داکر استفاده میکنید، ایمیج allura را دوباره بسازید و کانتینرها را دوباره راهاندازی کنید.
منبع خبر:
- 53