ثغرة أمنية خطيرة في Joomla !

سبتمبر 8, 2008

الثغرة الأمنية الجديدة في مجلة جوملا !

في تاريخ 14/أغسطس/2008 تم اختراق أغلبية المواقع التي تعتمد
على نظام لوحة إدارة النظام من جوملا ! ..
وفي الحقيقة تم اختراق أحد المواقع التي قمت بتصميمها .

كان هذا الإختراق بواسطة تغيير معلومات الـ admin بسبب ثغرة أمنية
لم يتم الإفصاح عنها بشكل واضح إنما نصحت الشركة المطورة بالقيام
بالترقية فقط إلى النسخة الجديدة رقم 1.5.6

طريقة الاختراق المستخدمة:
عن طريق رسالة التفعيل التي ترسل آلياً إلى المستخدم الجديد يتم
من خلال هـذا الرابـــط الوصـــول إلى الثغــــرة وهي ملف Index وتغيير
معلومات المدير .

خطوات الحل الجذري كاملة (لم تُذكر كاملة في الموقع الرئيسي):
1. تعطيل السماح بالتسجيل من لوحة الإعدادات العامّة/النظام/إعدادات المستخدم .
2. تشفير ملف configuration.php من لوحة Cpanel
3. القيام بالترقية الفورية للنسخة 1.5.6 .
4. يمكن الإستغناء عن الترقية بهذه الطريقة:
إذهب إلى هذه الصفحة:
www.yoursite.com/root/components/com_user/models/reset.php
وابحث عن هذا الرمز:
$mainframe;
تكون في السطر 113 على وجه التقريب .
نقوم بإضافة هذا الكود بعدها:
if(strlen($token) != 32) {
$this->setError(JText::_(‘INVALID_TOKEN’));
return false;
}

ولكن ينصح بالترقية لإحتــواء النسخة الجديـــدة على نظام أمني مكثف بالنسبـة
للنسخ السابقة ..

ملاحظة بالنسبة لـ تعطيل خيار المسجلين الجدد:
لم يتم التحدث عن هذه الخصلة بشكل من الأشكال لكننـي استنتجتها من خلال
المواقع الداعمة لجوملا ! .. العربيّة والإنجليزية كذلك لا أجد صندوق التسجيــل كما
أراه في السابق لهذا السبـب لم أثق تمامــاً في الإصدار 1.5.6 التي صرحت جوملا
بأنها تحل المشكلة بشكل جذري, ومن جهة أُخــرى .. أستغرب سُرعة عمل النسخ
التابعة للمجلة بهذا الوقت القياسي على خــلاف ووردبريس التي تطيل مدّة إصــدار
تحديث جديد , برأيي إن ووردبريس الحماية, وجوملا الإبداع .. أتمنى أن تدمج هاتين
الخصلتين في كليهما :)


روابط مفيدة:
* تحديثات جوملا من البداية وحتى النسخة الأخيرة .
ملاحظة: قم بالتحديــث المتسلســل أي لو كان إصـــدار موقعــك 1.5.2 قم بتحميــل
تحديث رقم 1.5.3 وبعدها أعـد الترقيــــة إلــــى 1.5.4 وهكذا إلى أن تصـــل لـ 1.5.6
وطريقة التحديث هي نقل الملفات لمجلد جوملا والموافقة على استبدال الملفات .

* قائمة بأسماء إضافات جوملا الضّارة .

* منتدى جوملا الرئيسي (للمستخدمين العرب) .

* رمز خطأ الثغرة الجديدة وبيان وجوب الترقية .

Entry Filed under: تكنولوجيا, ثغرات أمنية, جوملا!. .

6 Comments Add your own

  • 1. Ahmad . M . G  |  سبتمبر 8, 2008 at 3:17 ص

    الحمدلله أننا نستخدم الوورد بريس

  • 2. marwa  |  سبتمبر 9, 2008 at 7:49 ص

    ايكونز نحن ناويين نفتح على نفس الموقع اللي تم اختارقه ، تنصحين بالورد بريس والا بالاخ اللي تفضلي بالشرح عنه ؟؟؟؟

    وهل تركيب الستايل وقاعدة البيانات صعبة والا مقدور عليها ؟؟

    بارك الرحمن فيج ..

  • 3. iCoNzZz  |  سبتمبر 9, 2008 at 3:59 م

    أحمد:
    نحن نستخدم البرنامج المجاني وهو محصن من الثغرات
    لكن الآخر مهدد بخطر إذا لم يتم فحصة وتحصينة بشكل جيد
    آنا قريباً إن شاء الله سأنقل مدونتي إلى مساحة مدفوعة

  • 4. iCoNzZz  |  سبتمبر 9, 2008 at 4:00 م

    مروة:
    يعتمد على حسب المادة اللي بتستخدمينها, كلميني بالمسنجر
    وآنا اقولج شنو الأفضل لج : )

  • 5. Abdallh  |  سبتمبر 16, 2008 at 12:37 ص

    استخدمت مجلة جملة لفترة بسيطة
    لكن تعبت في ادارتها وتصميم القوالب لها صعب جدا ً
    اشوة اني حذفتها : )

  • 6. بوعمار  |  ديسمبر 15, 2008 at 1:24 ص

    اتمنى تنزلين الموضوع بقسم المشرفين لأن بصدد استخدام جملة لبعض اعمال المنتدى

    وقواكم الله ..

Leave a Comment

Required

Required, hidden

Some HTML allowed:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <pre> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Trackback this post  |  Subscribe to the comments via RSS Feed

آخر ما كتبت

التصنيفات

كتابات سابقة

لزيارة صفحة تصاميمي

لقطات من عدستي

Om saleh vocal ;p

Signed by His Highness the Amir of Kuwait

Jaber Alahmad International Stadium

More Photos