Lỗi bảo mật nghiêm trọng mới của Joomla 1.6, 1.7, 2.5.x

Thứ tư - 20/06/2012 23:23
Năm 2008, bản Joomla 1.5.6 trở về trước bị một lỗi bảo mật nghiêm trọng khiến ai cũng có thể chiếm quyền administrator trong Joomla. Gần đây, bản joomla 1.6 1.7 và nhỏ hơn 2.5.4 bị dính lỗi nghiêm trọng không kém như vậy là mấy.
Lần trước, lỗi bảo mật của Joomla 1.5.6 đã được thông báo rộng rãi đến người sử dụng Joomla trong nước. Tuy nhiên lỗi bảo mật mới nhất có trong các bản joomla 1.6 1.7 và nhỏ hơn 2.5.4 thì người dùng trong nước hầu như không để ý mặc dù trên blog của Jeff Channell đã thông báo từ tháng 3 năm 2012.

Với lỗi mới nhất này, hacker dễ dàng truy cập vào địa chỉ /index.php?option=com_users&view=registration (joomla 2.5) hoặc index.php?option=com_user&view=register (joomla 1.x) để đăng ký như 1 administrator với vài thủ thuật nhỏ.

Hacker có thể khai thác lỗi bằng cách chèn thêm vào form đăng ký của Joomla trường jform[groups][] với giá trị "7" tương đương với nhóm admin và cố tình đăng nhập lỗi (ghi sai password hay captcha). Joomla lúc này sẽ lưu giá trị group này vào phiên làm việc và trong lần đăng ký ngay sau đó kẻ tấn công sẽ đăng ký thành công với quyền hạn cao nhất. Từ đây hắn có thể đăng nhập vào phần quản trị, upload mã độc và chiếm cả máy chủ.

Lỗi này nằm ở trong tập tin : /components/com_users/models/registration.php dòng số 190 trong phiên bản Joomla 2.5.2

Nhiều website Joomla ở VN vẫn dùng các phiên bản 1.6 hoặc 1.7 chưa được fix lỗi những website này đều có thể bị hack bất cứ lúc nào.

Lỗi bảo mật nghiêm trọng này của Joomla khiến cho đội code joomla liên tục tung ra các bản nâng cấp với chu kỳ vài tuần 1 bản, việc này đã làm các nhà phát triển thứ cấp chán nản và mệt mỏi.

Nguồn tin: jeffchannell.com

Tổng số điểm của bài viết là: 12 trong 4 đánh giá

Xếp hạng: 3 - 4 phiếu bầu
Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Giấy phép sử dụng NukeViet

Bản dịch tiếng Việt của Giấy phép Công cộng GNU Người dịch&nbsp;Đặng Minh Tuấn <dangtuan@vietkey.net> Đây là bản dịch tiếng Việt không chính thức của Giấy phép Công cộng GNU. Bản dịch này không phải do Tổ chức Phần mềm Tự do ấn hành, và nó không quy định về mặt pháp lý các điều khoản cho các...

Thăm dò ý kiến

Bạn biết gì về NukeViet 4?

Thống kê truy cập
  • Đang truy cập115
  • Máy chủ tìm kiếm4
  • Khách viếng thăm111
  • Hôm nay7,998
  • Tháng hiện tại562,872
  • Tổng lượt truy cập99,513,047
Left-column advertisement
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây