شماره : 185

زمان : 1387-05-24
عنوان : باگی که شیشه‌ی عمر جوملا را شکست
متن :
جوملا مدیریت محتوای شماره یک دنیاست،چند روزیست که تعداد بیشماری از سایتهای مبتنی بر جوملا هک میشوند.
امروز باگی که باعث برباد رفتن بسیاری از سایتهای معتبر دنیا(مانند دانشگاه هاروارد) شد بصورت عمومی منتشر شد تا تیم کاری جوملا کاملا به بی دقتی خود پی ببرد!

هرچند متن باز بودن این سیستم مدیریت محتوا این امکان را فراهم اورد تا عده ای پیش از تیم جوملا مشکل سایتهای خود را رفع کنند ولی آمار سایتهای مورد نفوذ قرار گرفته بسیار زیاد است و اجتمال زیادتر شدن وبسایتها در ساعتهای اتی با توجه به انتشار عمومی باگ بیشتر شده است.

نمیتوان افتخار کرد!اما ایرانی ها از پیشرو های نفوذ بوسیله‌ی این باگ محسوب میشوند.
ای کاش هرچه زودترمکانهای دولتی و مراکز بزرگ علمی کشور که از سیستم مدیریت محتوای جوملا استفاده می کنند بروز شوند تا با مشکلی مواجه نشوند.

مدیران شبکه ها و سرویس دهنده میتوانند بصورت رایگان از برخی امکانات رسانه امنیت دیجیتال استفاده کنند تا در زمان بروز مشکلاتی مانند این باگ تیم فنی باگ تراک حتی پیش از انتشار اخبار انان را از وجود این نقصهای امنیتی اگاه کند.(برای استفاده از خدمات ویژه از بخش ارتباط با ما استفاده نمایید.)

برای امن سازی جوملای خود را به نسخه ۱.۵.۶ بروز کنید.
همچنین شما میتوانید با انجام تغییرات زیر بدون بروزرسانی به نسخه 1.5.6 جوملای خود را امن کنید:
در فایل /components/com_user/models/reset.php در خط 113 پس از $mainframe خطوط زیر را اضافه نمایید:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

اطلاعات تکمیلی در رابطه با این آسیب پذیری در رسانه امنیت دیجیتال:
http://www.bugtraq.ir/advisory/31457




منبع :
http://www.bugtraq.ir/news/185/