Lỗi bảo mật nghiêm trọng mới của Joomla 1.6, 1.7, 2.5.x

Thứ tư - 20/06/2012 23:23
Năm 2008, bản Joomla 1.5.6 trở về trước bị một lỗi bảo mật nghiêm trọng khiến ai cũng có thể chiếm quyền administrator trong Joomla. Gần đây, bản joomla 1.6 1.7 và nhỏ hơn 2.5.4 bị dính lỗi nghiêm trọng không kém như vậy là mấy.
Lần trước, lỗi bảo mật của Joomla 1.5.6 đã được thông báo rộng rãi đến người sử dụng Joomla trong nước. Tuy nhiên lỗi bảo mật mới nhất có trong các bản joomla 1.6 1.7 và nhỏ hơn 2.5.4 thì người dùng trong nước hầu như không để ý mặc dù trên blog của Jeff Channell đã thông báo từ tháng 3 năm 2012.

Với lỗi mới nhất này, hacker dễ dàng truy cập vào địa chỉ /index.php?option=com_users&view=registration (joomla 2.5) hoặc index.php?option=com_user&view=register (joomla 1.x) để đăng ký như 1 administrator với vài thủ thuật nhỏ.

Hacker có thể khai thác lỗi bằng cách chèn thêm vào form đăng ký của Joomla trường jform[groups][] với giá trị "7" tương đương với nhóm admin và cố tình đăng nhập lỗi (ghi sai password hay captcha). Joomla lúc này sẽ lưu giá trị group này vào phiên làm việc và trong lần đăng ký ngay sau đó kẻ tấn công sẽ đăng ký thành công với quyền hạn cao nhất. Từ đây hắn có thể đăng nhập vào phần quản trị, upload mã độc và chiếm cả máy chủ.

Lỗi này nằm ở trong tập tin : /components/com_users/models/registration.php dòng số 190 trong phiên bản Joomla 2.5.2

Nhiều website Joomla ở VN vẫn dùng các phiên bản 1.6 hoặc 1.7 chưa được fix lỗi những website này đều có thể bị hack bất cứ lúc nào.

Lỗi bảo mật nghiêm trọng này của Joomla khiến cho đội code joomla liên tục tung ra các bản nâng cấp với chu kỳ vài tuần 1 bản, việc này đã làm các nhà phát triển thứ cấp chán nản và mệt mỏi.

Nguồn tin: jeffchannell.com

Tổng số điểm của bài viết là: 12 trong 4 đánh giá

Xếp hạng: 3 - 4 phiếu bầu
Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Giới thiệu về NukeViet CMS

CMS là gì? CMS là từ viết tắt từ Content Management System. Theo wikipedia Định nghĩa. Hệ quản trị nội dung, cũng được gọi là hệ thống quản lý nội dung hay CMS (từ Content Management System của tiếng Anh) là phần mềm để tổ chức và tạo môi trường cộng tác thuận lợi nhằm mục đích xây dựng một hệ...

Thăm dò ý kiến

Lợi ích của phần mềm nguồn mở là gì?

Thống kê truy cập
  • Đang truy cập93
  • Máy chủ tìm kiếm6
  • Khách viếng thăm87
  • Hôm nay17,997
  • Tháng hiện tại134,817
  • Tổng lượt truy cập98,335,134
Left-column advertisement
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây