-
باگی که شیشه عمر جوملا را شکست !
سلام در خبر ها آمده بود :
جوملا مدیریت محتوای شماره یک دنیاست،چند روزیست که تعداد بیشماری از سایتهای مبتنی بر جوملا هک میشوند.امروز باگی که باعث برباد رفتن بسیاری از سایتهای معتبر دنیا(مانند دانشگاه هاروارد) شد بصورت عمومی منتشر شد تا تیم کاری جوملا کاملا به بی دقتی خود پی ببرد! ماجرا از این قرار است که یک باگ امنیتی در جوملا (Joomla) گزارش شده که بوسیله آن افراد قادر به دور زدن (bypass) تمهیدات امنیتی اتخاذ شده می باشند. باگ ناشی از محدودسازی نامناسب دسترسی در components/com_user/models/reset.php میباشد که امکان دورزدن سیستم تایید هویت را فراهم می اورد تا افراد بتوانند بدون داشتن مجوز رمزعبور administrator را تغییر دهند.
این باگ در نسخه های ۱.۵ تا ۱.۵.۶ تایید شده است.
راه چاره :
بروزرسانی به نسخه ۱.۵.۶
اعتبار کشف : d3m0n
اطلاعات تکمیلی : [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید][..]
کد مخرب : کد مخرب برای اثبات :Joomla “token” Password Change Vulnerability
منابع :
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
هرچند متن باز بودن این سیستم مدیریت محتوا این امکان را فراهم اورد تا عده ای پیش از تیم جوملا مشکل سایتهای خود را رفع کنند ولی آمار سایتهای مورد نفوذ قرار گرفته بسیار زیاد است و اجتمال زیادتر شدن وبسایتها در ساعتهای اتی با توجه به انتشار عمومی باگ بیشتر شده است.
برای امن سازی جوملای خود را به نسخه ۱.۵.۶ بروز کنید.
همچنین شما میتوانید با انجام تغییرات زیر بدون بروزرسانی به نسخه ۱/۵/۶ جوملای خود را امن کنید:
در فایل /components/com_user/models/reset.php در خط ۱۱۳ پس از $mainframe خطوط زیر را اضافه نمایید:
if(strlen($token) != 32) {
$this->setError(JText::_(’INVALID_TOKEN’));
return false;
}
منبع: رسانه امنیت دیجیتال
حال سئوالی که مطرح است اینست که آیا این خطر متوجه مامبو نیز هست یا خیر ؟ نظر شما چیست ؟
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
-
-
10-27-2008 02:56 PM
# ADS
تبلیغات در جوملا فارسی
-
پاسخ : باگی که شیشه عمر جوملا را شکست !
سلام
به نظر من مامبو بحثش از جوملا كاملاً جدا شده.
جوملا چند وقتي ميشه كه از اين سوتيها ميده و ديگه براي من يكي كه كاملاً عادي شده.
شك نكنيد مامبو همچون نسخه 1.5 جوملا نيست و چنين باگهايي نداره وگرنه خيلي زودتر دوستان هكر ايراني اونرو پيدا ميكردن و ... .
جوملا و مامبو با هم متفاوت شدند و اين موضوع كه مودها و كامپوننتهاي نسخه هاي جديد جوملا بر روي مامبو نصب نميشن بيانگر اين موضوع ميباشد. (البته نظر شخصي خودمه)
به نظر من جاي هيچ نگراني نيست.
البته مامبو هم قصد كوچ به كيك پي اچ پي را دارد كه قبلاً بحث شده و بايد منتظر باشيم تا ببينيم كه چه اتفاقي خواهد افتاد.
اينم بگم كه بايد منتظر باشيم تا مديران در اينباره نيز نظر بدن (بخصوص آقايان فيروزمندان و سيادتي). آخه هرچي باشه اونها بيشتر از ما با مامبو و جوملا آشنايي دارن. (برنامه نويسي هم كه ديگه بحثي توش نيست)
نيك بخت باشيد.
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
-
-
پاسخ : باگی که شیشه عمر جوملا را شکست !
خیر این مورد برای مامبو تهدید به حساب نمیاد
در ضمن جوملا نسحه 1.5 بسیار از نظر ساختارو کد نویسی تغییر کرده و خصوصا اصلا با مامبو 4.6. قابل مقایسه گاها نیست
در این مورد امنیتی هم خیلی وقت هست که اعلام شده حدود 2 3 ماه هست و الان هم نسخه 1.5.7. اومده که مشکلی نداره در این مورد !
در مورد مامبو هم اصلا نگران نباشید
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
-
-
پاسخ : باگی که شیشه عمر جوملا را شکست !
باگی که شیشه عمر جوملا را شکست???????? اینم شد حرف? اصلا قصد طرفداری از هیچ سیستمی نیست, دوستان حالا یه وقت تععصبی نشن, ولی از این باگها تو هر سیستمی بوجود اومده و فورا هم (قبل از اینکه شیشه عمرشون بشکنه) برطرف شده. چه جوملا باشه چه دروپال چه مامبو, این مشکلات تو هر سیستم open sourc که در حال توسعه باشه پیش اومده و میاد.
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
-
-
پاسخ : باگی که شیشه عمر جوملا را شکست !
[quote author=Don Vito link=topic=17228.msg91913#msg91913 date=1225134537]
باگی که شیشه عمر جوملا را شکست???????? اینم شد حرف? اصلا قصد طرفداری از هیچ سیستمی نیست, دوستان حالا یه وقت تععصبی نشن, ولی از این باگها تو هر سیستمی بوجود اومده و فورا هم (قبل از اینکه شیشه عمرشون بشکنه) برطرف شده. چه جوملا باشه چه دروپال چه مامبو, این مشکلات تو هر سیستم open sourc که در حال توسعه باشه پیش اومده و میاد.
[/quote]
سلام. بله من هم كاملا با شما موافقم اما كم و زياد داره 
يـــــــــــــــــاعـــــ ـــــــــــلي
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
-
-
پاسخ : باگی که شیشه عمر جوملا را شکست !
[quote author=Don Vito link=topic=17228.msg91913#msg91913 date=1225134537]
باگی که شیشه عمر جوملا را شکست???????? اینم شد حرف? اصلا قصد طرفداری از هیچ سیستمی نیست, دوستان حالا یه وقت تععصبی نشن, ولی از این باگها تو هر سیستمی بوجود اومده و فورا هم (قبل از اینکه شیشه عمرشون بشکنه) برطرف شده. چه جوملا باشه چه دروپال چه مامبو, این مشکلات تو هر سیستم open sourc که در حال توسعه باشه پیش اومده و میاد.
[/quote]
من هم موافقم ... نباید در مورد سیستمی که رتبه اول رو در دنیا از آن خودش کرده اینجوری حرف زد ...
اینکه هر سیستمی مشکلات امنیتی خاص خودش رو داره طبیعیه ..
از کجا معلوم همین مامبو یه مشکل امنیتی خفن داشته و قبل از متوجه شدن کاربران مشکلش برطرف شده باشه ... چون جوملا در خارج کشور طرف دار زیادی داره این خبر پیچیده
برام عجیبه که دانشگاه هاروارد از جوملا استفاده می کنه .. مگه میشه؟
یعنی دانشگاه با این اعتبار نمی تونه به برنامه نویس حرفه ای برای طراحی سایت داشته باشه؟
من که باور نمی کنم ... باورش سخته
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
-
-
پاسخ : باگی که شیشه عمر جوملا را شکست !
جالب بود، بهش که می خوره جوملا یا مامبو باشه ، اما سعی شده تغییرش بدند.
[quote author=javid2005 link=topic=17228.msg91918#msg91918 date=1225137610]
یعنی دانشگاه با این اعتبار نمی تونه به برنامه نویس حرفه ای برای طراحی سایت داشته باشه؟
من که باور نمی کنم ... باورش سخته
[/quote]
به نظر من که این سیستم های اوپن سورس اگر روشون کار کنند و بهینش کنند و تغییرات مورد نیازشون رو توش اعمال کنند خیلی بهتر از سیستمی هست که چند نفر روش کار کنند و بشینند اون رو از اول بنویسند ، چون هر چی باشه سالیان زیادی هست که این سیستم ها داره تولید می شه و خیلی از باگ هاشون رفع شده ، در صورتیکه یه سیستم که تازه نوشته می شه می تونه کلی باگ داشته باشه.
می شه این تغییر دادن این cms هارو مثل تغییر دادن kernel در linux دونست ، در اون حالت شما یه لینوکس دارید که توی دنیا یونیک هست ، این جا هم شما با تغییرات مورد نیاز چه از لحاظ امنیتی و چه از لحاظ های دیگه می تونید یه سیستم داشته باشید که تو دنیا تکه...
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
-
-
پاسخ : باگی که شیشه عمر جوملا را شکست !
سلام
من با این باگ خیلی وقت پیش برخورد کردم . اما در انجمن مطرحش نکردم به دو دلیل : اول به این خاطر که ما اینجا کاربر جوملا نداریم ??? دوم هم چون بیان این موضوع می تونست معانی دیگه ای هم داشته باشه (مثل تعصب و ...)
اینکه این باگ می تونه برای هر برنامه ای پیش بیاد رو رد می کنم ( نظر شخصی ) . این اشتباه کوچیکی نبود که چند ورژن هم طول بکشه . و البته اصلا جای ساده یا معمولی در برنامه به حساب نمیاد که بخوای از کنارش به سادگی و بدون تست رد بشید . این موضوع یه نظر شخصی هست وگر نه من نه در جایگاه قضاوت هستم و نه هیچ وقت چنین کاری می کنم .
ولی این نکته باگ های کوچیک و بزرگ برای هر سیستم متن باز ( و غیر باز ) می تونه اتفاق بیافته رو کاملا قبول دارم . خوب این برنامه ها رو آدم ها نوشتن و آدم هم ...
داشتم می نوشتم که پاسخ جاوید عزیز رو بدم که استاد بنده علی آقا پست دادن و دقیقا حرف من رو زدن ( حتی مثالش منم با linux بود 
) .
+ اما این نکته رو اضافه بکنم که می تونه ( احتمالا! ) انتخاب این نوع سیستم های مدیریت محتوا در اثر پیروی از استراتژی مدیریتی خاصی بوده باشه . من با این موارد به ویژه در مدیریت های سازمان های داخلی خیلی برخورد کردم .
موفق باشید
امیر
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
-
علاقه مندی ها (Bookmarks)