Hacker không mất đến 1 phút để khai thác lỗi trên Joomla
(Cập nhật: 16/8/2008)
Một hướng dẫn khai thác lỗ hổng của phiên bản Joomla 1.5.x xuất hiện trên Internet hôm qua (13/8) có thể khiến bất kỳ ai, với trình độ tin học bình thường, dễ dàng kiểm soát quyền quản trị website chỉ trong vài chục giây.
Trên trang chủ của website Joomla Việt có cảnh báo rõ về lỗ hổng cho phép 1 người dùng chưa đăng nhập, không có quyền truy nhập vào hệ thống, có thể thay đổi mật khẩu của tài khoản được kích hoạt đầu tiên (tài khoản người dùng có số ID bé nhất) và thông thường đây là tài khoản của Admin.
Lỗ hổng của Joomla có thể bị khai thác theo cơ chế này. Ảnh: BKIS |
Joomla là một hệ quản trị nội dung mã nguồn mở, có khả năng tùy biến cao, cung cấp sẵn nhiều chức năng và miễn phí nên được người sử dụng rất ưa chuộng. Theo nhiều nguồn đánh giá, cộng đồng Joomla tại Việt Nam lên tới cả chục nghìn website. Vì đặc điểm dễ khai thác của lỗ hổng và số lượng sử dụng Joomla đông đảo như vậy nên Trung tâm an ninh mạng BKIS đánh giá đây là lỗi đặc biệt nguy hiểm.
"Chúng tôi đã tiến hành các biện pháp kiểm tra nhanh với 1.178 trang trong số các website sử dụng Joomla trong nước, kết quả cho thấy có 158 website (13,4 %) mắc phải lỗ hổng này", Giám đốc BKIS Nguyễn Tử Quảng cho biết. Chúng tôi khuyến cáo tất cả các cơ quan, doanh nghiệp trên toàn quốc đang sử dụng phần mềm Joomla làm website, cần sớm kiểm tra xem hệ thống của mình có bị mắc lỗi hay không để vá lỗi".
Người đứng đầu BKIS cũng khẳng định hiện tại, chỉ có các phiên bản Joomla 1.5.x bị "thủng". Cách tốt nhất để vá lỗi là nâng cấp lên phiên bản mới nhất 1.5.6 (phát hành ngày 13/8), hoặc cũng có thể sửa lỗi bằng cách thủ công như sau:
Sửa file “/components/com_user/models/reset.php”, sau biến global $mainframe, tại dòng 113 thêm các lệnh sau:
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}(Vnexpress.net)
Biến Windows thành “vương quốc” của Google
Chắc hẳn rằng trong chúng ta không ai là không sử dụng công cụ tìm kiếm của Google và các dịch vụ của hãng. Nếu là người yêu thích Google và các dịch vụ của hãng, hãy trang trí và tạo cá tính cho Windows của bạn bằng những công cụ miễn phí dưới đây.
Cập nhật mọi ứng dụng để tránh virus
Một phương pháp để hạn chế các lỗi xảy ra khi sử dụng các phần mềm là cập nhật chúng một cách thường xuyên.
Vi phạm bản quyền trên Internet sẽ phải bồi thường?
Doanh nghiệp đăng tải, công bố, truyền bá, kinh doanh nội dung thông tin số trên mạng Internet sẽ phải trực tiếp bồi thường thiệt hại nếu vi phạm quyền tác giả.
Kinh nghiệm nâng cấp máy tính (Phần cuối)
Nâng cấp dễ dàng là một trong những lợi thế rất lớn của máy tính nhưng đây là một ngành công nghiệp có tốc độ phát triển nhanh chóng do đó các máy tính sẽ nhanh bị tụt hậu hơn bao giờ hết.