2008-08-27

Joomla 1.5.x нууц үгийн цоорхой

Бидний өргөнөөр ашигладаг Joomla агуулга удирдах системийн 1.5.5 болон өмнөх 1.5 хувилбарууд дээр нэгэн аюултай цоорхой илэрчээ. Энэ цоорхойн талаар олонд зарлагдахаас өмнө маш олон вэбсайтууд халдлагад өртөж, одоо ч мөн адил өртсөөр л байна. Халдлага нь хэрэглэгч нууц үгээ мартсан тохиолдолд сэргээх ажиллагаанд ашигладаг token механизм дахь цоорхойг ашиглах бөгөөд хамгийн бага дугаартай буюу админ хэрэглэгчийн нууц үгийг өмнө нь мэдэлгүйгээр өөрийн хүссэнээрээ солих боломжтойгоороо аюултай юм. Өөрөөр хэлбэл хэрэв та эдгээр хувилбаруудыг ашигладаг бол хэн нэгэн таны админ хэрэглэгчийн нууц үгийг хүссэнээрээ солиод, дараа нь түүгээрээ танд ямар ч хохирол учруулахад бэлэн гэсэн үг. Танд 1.5.6 хувилбар руу яаралтай шинэчлэхийг санал болгож байна, эсвэл энд байгаа зааврын дагуу засварыг хийж болно.

Харин 1.0.х болон Жүүмла Монгол хувилбарууд өртөөгүй байна. Мөн Joomla хөгжүүлэгчид аюулгүй байдлыг сайжруулах зорилгоор шинэ аюулгүй байдлыг баг байгуулж түүндээ Joomla Security Strike Team буюу JSST гэдэг нэр хайрлажээ. Энэхүү шинэ баг нь хуучин Joomla Security Team-ийг орлох юм байна. Миний хувьд Drupal ашигладаг бөгөөд аюулгүй байдал ба хэрэглэгчийн эрхийн систем нь их уян хатан юм шиг санагддаг. Бас аюулгүй байдлын баг нь ч их сайн ажилладаг.

No comments: