Joomla! 1.5.0 - 1.5.5 Berisiko
Joomla merupakan CMS (Content Management System) yang popular dan mudah digunakan. Joomla mengeluarkan 2 versi berbeza iaitu Joomla 1.0.x dan 1.5.x.
Joomla versi 1.0.x merupakan versi yang lahir daripada CMS Mambo. Manakala Joomla versi 1.5.x telah menjarakkan nama antara mambo dengan mengeluarkan sistem yang lebih baik. Namun, walaupun sistem yang lebih baik dan navigasi yang mudah, ianya tidak lari dari kelemahan.
Kelemahan Joomla versi 1.5.0-1.5.5 telah dikesan pada 12 Ogos lalu. Joomla versi ini membolehkan penceroboh menukar atau reset kata laluan bagi akaun pertama yang masih aktif, kebiasaanya akaun pertama adalah kepunyaan administrator/pentadbir.
Penceroboh mampu melakukan apa sahaja di bahagian pentadbir setelah kata laluan diresetkan. Ini hanya boleh dilakukan jika nama pengguna pentadbir (username administrator biasanya ‘admin’) diketahui oleh penceroboh tersebut.
Begitulah secara ringkas ulasan, dan mari kita selesaikan masalah pencerobohan yang mungkin akan terjadi kepada anda yang menggunakan Joomla 1.5.0-1.5.5 untuk laman web anda. Anda perlu mengikut kaedah yang mungkin berkesan untuk mengelakkan perkara ini :
- Menukar nama pengguna akaun (login ID) ‘Administrator’ ke nama yang
lain, yang hanya anda mengetahuinya. - Menukar nama folder ‘administrator’ ke nama yang lain.
- Menaiktaraf Joomla! CMS ke versi 1.5.6 atau menambah kod bagi
fail ‘reset.php’.
Untuk menambah kod pada fail ‘reset.php’ sila ke /components/com_user/models/reset.php, selepas global $mainframe; pada line 113 dalam reset.php, tambah :
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}
Selamatkan laman web anda yang menggunakan joomla sekarang. Ini kerana pencerobohan ini boleh dilakukan kurang 15 saat, :D.
MakLaN (#)
August 19th, 2008
Info yang menarik. Ada sesiapa tak yang nak bercerita tentang Drupal? Dengar citer lagi senang dari CMS lain.
Bat (#)
August 19th, 2008
Rindu pulak kat joomla, hehe..Tapi pasal security ni, wordpress pun tak berapa selamat jugak kalau tak kena cara..
@maklan: Drupal? tunggu…hehe
adi (#)
August 20th, 2008
aku dah kena hack semalam.. soit betul
Kena « hardyweb:perjalanan hidupkuā¢ (#)
August 20th, 2008
[...] baca post dekat infomalaya pasal lubang hack joomla tu . Ini bukan pasal firewall lemah atau sebagainya.. skrip Joomla yang bermasalah dan aku yang [...]
arynet (#)
August 21st, 2008
drupal? dah lama tinggal.. kalo nak buat tutorial tu rasanya boleh lagi.. hehe..
adi, web kena hack ke? haha.. lepas announce je ada kelemahan pasal reset password ni.. bnyk jugak la yg kena.. budak2 nak test ke’tera’an mereka tu..
adi (#)
August 21st, 2008
kena… sampai aku wipe semua dalam db.. la nih kena buat baru da.. aku pakai xoops plok.. design tak cantik . tapi best … zaman budak budak kita dulu pun gitu la jugok hahah..
fazlee (#)
August 26th, 2008
quick fix untuk mereka yg malaih nak upgrade ke 1.5.6, mcm aku.
http://www.crucialp.com/blog/2008/08/23/joomla-15-exploit-fix-mod_security-token-password-reset-exploit-and-sql-injection/
Sejenak bersama Drupal | sumber terbuka | InfoMalaya dot Com (#)
September 3rd, 2008
[...] yang dijanjikan, kali ini aku nak menyentuh tentang sebuah CMS yang diberi nama Drupal. Untuk pengetahuan semua, [...]