tablighat1


باگی که شیشه‌ی عمر جوملا را شکست!


%d8%a8%d8%a7%da%af%db%8c-%da%a9%d9%87-%d8%b4%db%8c%d8%b4%d9%87%e2%80%8c%db%8c-%d8%b9%d9%85%d8%b1-%d8%ac%d9%88%d9%85%d9%84%d8%a7-%d8%b1%d8%a7-%d8%b4%da%a9%d8%b3%d8%aa

جوملا مدیریت محتوای شماره یک دنیاست،چند روزیست که تعداد بیشماری از سایتهای مبتنی بر جوملا هک میشوند.
امروز باگی که باعث برباد رفتن بسیاری از سایتهای معتبر دنیا(مانند دانشگاه هاروارد) شد بصورت عمومی منتشر شد تا تیم کاری جوملا کاملا به بی دقتی خود پی ببرد!

ماجرا از این قرار است که یک باگ امنیتی در جوملا (Joomla) گزارش شده که بوسیله آن افراد قادر به دور زدن (bypass) تمهیدات امنیتی اتخاذ شده می باشند.
باگ ناشی از محدودسازی نامناسب دسترسی در components/com_user/models/reset.php میباشد که امکان دورزدن سیستم تایید هویت را فراهم می اورد تا افراد بتوانند بدون داشتن مجوز رمزعبور administrator را تغییر دهند.

این باگ در نسخه های ۱.۵ تا ۱.۵.۶ تایید شده است. 
راه چاره : 
 بروزرسانی به نسخه ۱.۵.۶ 
اعتبار کشف :  d3m0n
 
اطلاعات تکمیلی : http://milw0rm.com/exploits/6234
http://developer.joomla.org/security/news/241-20080801-co[..] 
کد مخرب : کد مخرب برای اثبات :Joomla “token” Password Change Vulnerability
 
منابع :
http://www.secunia.com/advisories/31457 

هرچند متن باز بودن این سیستم مدیریت محتوا این امکان را فراهم اورد تا عده ای پیش از تیم جوملا مشکل سایتهای خود را رفع کنند ولی آمار سایتهای مورد نفوذ قرار گرفته بسیار زیاد است و اجتمال زیادتر شدن وبسایتها در ساعتهای اتی با توجه به انتشار عمومی باگ بیشتر شده است.

نمیتوان افتخار کرد!اما ایرانی ها از پیشرو های نفوذ بوسیله‌ی این باگ محسوب میشوند.
ای کاش هرچه زودترمکانهای دولتی و مراکز بزرگ علمی کشور که از سیستم مدیریت محتوای جوملا استفاده می کنند بروز شوند تا با مشکلی مواجه نشوند.

برای امن سازی جوملای خود را به نسخه ۱.۵.۶ بروز کنید.
همچنین شما میتوانید با انجام تغییرات زیر بدون بروزرسانی به نسخه ۱.۵.۶ جوملای خود را امن کنید:
در فایل /components/com_user/models/reset.php در خط ۱۱۳ پس از $mainframe خطوط زیر را اضافه نمایید:

if(strlen($token) != 32) {
$this->setError(JText::_(‘INVALID_TOKEN’));
return false;
}

 

منبع: رسانه امنیت دیجیتال


برچسب ها:, , ,
ارسال شده در اخبار فناوري اطلاعات | بدون نظر »

نظر بدهید

به صورت خودکار کلمات فینگلیش را به فارسی تبدیل کن. در صورتی که می خواهید انگلیسی تایپ کنید Ctrl+g را فشار دهید.