باگی که شیشهی عمر جوملا را شکست
جوملا مدیریت محتوای شماره یک دنیاست،چند روزیست که تعداد بیشماری از سایتهای مبتنی بر جوملا هک میشوند.
امروز باگی که باعث برباد رفتن بسیاری از سایتهای معتبر دنیا(مانند دانشگاه هاروارد) شد بصورت عمومی منتشر شد تا تیم کاری جوملا کاملا به بی دقتی خود پی ببرد!
هرچند متن باز بودن این سیستم مدیریت محتوا این امکان را فراهم اورد تا عده ای پیش از تیم جوملا مشکل سایتهای خود را رفع کنند ولی آمار سایتهای مورد نفوذ قرار گرفته بسیار زیاد است و اجتمال زیادتر شدن وبسایتها در ساعتهای اتی با توجه به انتشار عمومی باگ بیشتر شده است.
نمیتوان افتخار کرد!اما ایرانی ها از پیشرو های نفوذ بوسیلهی این باگ محسوب میشوند.
ای کاش هرچه زودترمکانهای دولتی و مراکز بزرگ علمی کشور که از سیستم مدیریت محتوای جوملا استفاده می کنند بروز شوند تا با مشکلی مواجه نشوند.
مدیران شبکه ها و سرویس دهنده میتوانند بصورت رایگان از برخی امکانات رسانه امنیت دیجیتال استفاده کنند تا در زمان بروز مشکلاتی مانند این باگ تیم فنی باگ تراک حتی پیش از انتشار اخبار انان را از وجود این نقصهای امنیتی اگاه کند.(برای استفاده از خدمات ویژه از بخش ارتباط با ما استفاده نمایید.)
برای امن سازی جوملای خود را به نسخه ۱.۵.۶ بروز کنید.
همچنین شما میتوانید با انجام تغییرات زیر بدون بروزرسانی به نسخه 1.5.6 جوملای خود را امن کنید:
در فایل /components/com_user/models/reset.php در خط 113 پس از $mainframe خطوط زیر را اضافه نمایید:
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}
---------------
اطلاعات تکیملی : Joomla "token" Password Change Vulnerability
یک باگ امنیتی در جوملا (Joomla) گزارش شده که بوسیله آن افراد قادر به دور زدن (bypass) تمهیدات امنیتی اتخاذ شده می باشند.
باگ ناشی از محدودسازی نامناسب دسترسی در components/com_user/models/reset.php میباشد که امکان دورزدن سیستم تایید هویت را فراهم می اورد تا افراد بتوانند بدون داشتن مجوز رمزعبور administrator را تغییر دهند.
این باگ در نسخه های ۱.۵ تا ۱.۵.۶ تایید شده است.
راه چاره : بروزرسانی به نسخه 1.5.6
منبع فارسی :
منبع اصلی:کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
جواب بصورت نقل قول
