Lỗi bảo mật nghiêm trọng mới của Joomla 1.6, 1.7, 2.5.x

Thứ tư - 20/06/2012 23:23
Năm 2008, bản Joomla 1.5.6 trở về trước bị một lỗi bảo mật nghiêm trọng khiến ai cũng có thể chiếm quyền administrator trong Joomla. Gần đây, bản joomla 1.6 1.7 và nhỏ hơn 2.5.4 bị dính lỗi nghiêm trọng không kém như vậy là mấy.
Lần trước, lỗi bảo mật của Joomla 1.5.6 đã được thông báo rộng rãi đến người sử dụng Joomla trong nước. Tuy nhiên lỗi bảo mật mới nhất có trong các bản joomla 1.6 1.7 và nhỏ hơn 2.5.4 thì người dùng trong nước hầu như không để ý mặc dù trên blog của Jeff Channell đã thông báo từ tháng 3 năm 2012.

Với lỗi mới nhất này, hacker dễ dàng truy cập vào địa chỉ /index.php?option=com_users&view=registration (joomla 2.5) hoặc index.php?option=com_user&view=register (joomla 1.x) để đăng ký như 1 administrator với vài thủ thuật nhỏ.

Hacker có thể khai thác lỗi bằng cách chèn thêm vào form đăng ký của Joomla trường jform[groups][] với giá trị "7" tương đương với nhóm admin và cố tình đăng nhập lỗi (ghi sai password hay captcha). Joomla lúc này sẽ lưu giá trị group này vào phiên làm việc và trong lần đăng ký ngay sau đó kẻ tấn công sẽ đăng ký thành công với quyền hạn cao nhất. Từ đây hắn có thể đăng nhập vào phần quản trị, upload mã độc và chiếm cả máy chủ.

Lỗi này nằm ở trong tập tin : /components/com_users/models/registration.php dòng số 190 trong phiên bản Joomla 2.5.2

Nhiều website Joomla ở VN vẫn dùng các phiên bản 1.6 hoặc 1.7 chưa được fix lỗi những website này đều có thể bị hack bất cứ lúc nào.

Lỗi bảo mật nghiêm trọng này của Joomla khiến cho đội code joomla liên tục tung ra các bản nâng cấp với chu kỳ vài tuần 1 bản, việc này đã làm các nhà phát triển thứ cấp chán nản và mệt mỏi.

Nguồn tin: jeffchannell.com

 Tags: lỗi bảo mật, joomla

Tổng số điểm của bài viết là: 12 trong 4 đánh giá

Xếp hạng: 3 - 4 phiếu bầu
Click để đánh giá bài viết

Theo dòng sự kiện

Xem tiếp...

Những tin mới hơn

Những tin cũ hơn

Giới thiệu về NukeViet

Giới thiệu khái quát NukeViet là một ứng dụng trên nền web có thể sử dụng vào nhiều mục đích khác nhau. Phiên bản đang được phát hành theo giấy phép phần mềm tự do nguồn mở có tên gọi đầy đủ là NukeViet CMS gồm 2 phần chính là phần nhân (core) của hệ thống NukeViet và nhóm chức năng quản trị nội...

Thăm dò ý kiến

Lợi ích của phần mềm nguồn mở là gì?

Thống kê truy cập
  • Đang truy cập155
  • Máy chủ tìm kiếm1
  • Khách viếng thăm154
  • Hôm nay23,983
  • Tháng hiện tại306,977
  • Tổng lượt truy cập94,653,630
Thông tin mời thầu
Left-column advertisement
Tin từ NukeViet.vn
Kế hoạch lựa chọn nhà thầu
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây