Posts filed under 'ثغرات أمنية'
ثغرة أمنية خطيرة في Joomla !
الثغرة الأمنية الجديدة في مجلة جوملا !
في تاريخ 14/أغسطس/2008 تم اختراق أغلبية المواقع التي تعتمد
على نظام لوحة إدارة النظام من جوملا ! ..
وفي الحقيقة تم اختراق أحد المواقع التي قمت بتصميمها .
كان هذا الإختراق بواسطة تغيير معلومات الـ admin بسبب ثغرة أمنية
لم يتم الإفصاح عنها بشكل واضح إنما نصحت الشركة المطورة بالقيام
بالترقية فقط إلى النسخة الجديدة رقم 1.5.6
طريقة الاختراق المستخدمة:
عن طريق رسالة التفعيل التي ترسل آلياً إلى المستخدم الجديد يتم
من خلال هـذا الرابـــط الوصـــول إلى الثغــــرة وهي ملف Index وتغيير
معلومات المدير .
خطوات الحل الجذري كاملة (لم تُذكر كاملة في الموقع الرئيسي):
1. تعطيل السماح بالتسجيل من لوحة الإعدادات العامّة/النظام/إعدادات المستخدم .
2. تشفير ملف configuration.php من لوحة Cpanel
3. القيام بالترقية الفورية للنسخة 1.5.6 .
4. يمكن الإستغناء عن الترقية بهذه الطريقة:
إذهب إلى هذه الصفحة:
www.yoursite.com/root/components/com_user/models/reset.php
وابحث عن هذا الرمز:
$mainframe;
تكون في السطر 113 على وجه التقريب .
نقوم بإضافة هذا الكود بعدها:
if(strlen($token) != 32) {
$this->setError(JText::_(‘INVALID_TOKEN’));
return false;
}
ولكن ينصح بالترقية لإحتــواء النسخة الجديـــدة على نظام أمني مكثف بالنسبـة
للنسخ السابقة ..
ملاحظة بالنسبة لـ تعطيل خيار المسجلين الجدد:
لم يتم التحدث عن هذه الخصلة بشكل من الأشكال لكننـي استنتجتها من خلال
المواقع الداعمة لجوملا ! .. العربيّة والإنجليزية كذلك لا أجد صندوق التسجيــل كما
أراه في السابق لهذا السبـب لم أثق تمامــاً في الإصدار 1.5.6 التي صرحت جوملا
بأنها تحل المشكلة بشكل جذري, ومن جهة أُخــرى .. أستغرب سُرعة عمل النسخ
التابعة للمجلة بهذا الوقت القياسي على خــلاف ووردبريس التي تطيل مدّة إصــدار
تحديث جديد , برأيي إن ووردبريس الحماية, وجوملا الإبداع .. أتمنى أن تدمج هاتين
الخصلتين في كليهما 
روابط مفيدة:
* تحديثات جوملا من البداية وحتى النسخة الأخيرة .
ملاحظة: قم بالتحديــث المتسلســل أي لو كان إصـــدار موقعــك 1.5.2 قم بتحميــل
تحديث رقم 1.5.3 وبعدها أعـد الترقيــــة إلــــى 1.5.4 وهكذا إلى أن تصـــل لـ 1.5.6
وطريقة التحديث هي نقل الملفات لمجلد جوملا والموافقة على استبدال الملفات .
* قائمة بأسماء إضافات جوملا الضّارة .
6 comments سبتمبر 8, 2008
