Lỗi bảo mật nghiêm trọng mới của Joomla 1.6, 1.7, 2.5.x

Thứ tư - 20/06/2012 23:23
Năm 2008, bản Joomla 1.5.6 trở về trước bị một lỗi bảo mật nghiêm trọng khiến ai cũng có thể chiếm quyền administrator trong Joomla. Gần đây, bản joomla 1.6 1.7 và nhỏ hơn 2.5.4 bị dính lỗi nghiêm trọng không kém như vậy là mấy.
Lần trước, lỗi bảo mật của Joomla 1.5.6 đã được thông báo rộng rãi đến người sử dụng Joomla trong nước. Tuy nhiên lỗi bảo mật mới nhất có trong các bản joomla 1.6 1.7 và nhỏ hơn 2.5.4 thì người dùng trong nước hầu như không để ý mặc dù trên blog của Jeff Channell đã thông báo từ tháng 3 năm 2012.

Với lỗi mới nhất này, hacker dễ dàng truy cập vào địa chỉ /index.php?option=com_users&view=registration (joomla 2.5) hoặc index.php?option=com_user&view=register (joomla 1.x) để đăng ký như 1 administrator với vài thủ thuật nhỏ.

Hacker có thể khai thác lỗi bằng cách chèn thêm vào form đăng ký của Joomla trường jform[groups][] với giá trị "7" tương đương với nhóm admin và cố tình đăng nhập lỗi (ghi sai password hay captcha). Joomla lúc này sẽ lưu giá trị group này vào phiên làm việc và trong lần đăng ký ngay sau đó kẻ tấn công sẽ đăng ký thành công với quyền hạn cao nhất. Từ đây hắn có thể đăng nhập vào phần quản trị, upload mã độc và chiếm cả máy chủ.

Lỗi này nằm ở trong tập tin : /components/com_users/models/registration.php dòng số 190 trong phiên bản Joomla 2.5.2

Nhiều website Joomla ở VN vẫn dùng các phiên bản 1.6 hoặc 1.7 chưa được fix lỗi những website này đều có thể bị hack bất cứ lúc nào.

Lỗi bảo mật nghiêm trọng này của Joomla khiến cho đội code joomla liên tục tung ra các bản nâng cấp với chu kỳ vài tuần 1 bản, việc này đã làm các nhà phát triển thứ cấp chán nản và mệt mỏi.

Nguồn tin: jeffchannell.com

Tổng số điểm của bài viết là: 12 trong 4 đánh giá

Xếp hạng: 3 - 4 phiếu bầu
Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Logo và tên gọi NukeViet

Tên gọi: NukeViet phát âm là [Nu-Ke-Việt], đây là cách đọc riêng, không phải là cách phát âm chuẩn của tiếng Anh. Ý nghĩa: NukeViet là từ ghép từ chữ Nuke và Việt Nam. Sở dĩ có tên gọi này là vì phiên bản 1.0 và 2.0 của NukeViet được phát triển từ mã nguồn mở PHP-Nuke. Mặc dù từ phiên bản 3.0,...

Thăm dò ý kiến

Lợi ích của phần mềm nguồn mở là gì?

Thống kê truy cập
  • Đang truy cập193
  • Máy chủ tìm kiếm5
  • Khách viếng thăm188
  • Hôm nay26,390
  • Tháng hiện tại438,066
  • Tổng lượt truy cập98,638,383
Left-column advertisement
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây