W kilku komponentach popularnego systemu CMS - Joomla! zostały odkryte luki pozwalające na dokonanie ataku znanego jako LFI (Local File Inclusion). Podatność stwierdzono w User Status Component, webERPcustomer Component, VJDEO Component, Datafeeds Component, Highslide JS Component, Flickr Controller, Jukebox Component, J!WHMCS Integrator Component, Seber Cart Component oraz iJoomla News Portal. Dodatkowo w XOBBIX Component znaleziono lukę SQL Injection.
Dodatkowe informacje na temat podatności można znaleźć na stronie:
http://secunia.com/advisories/
Pełna wersja: Wykryto luki bezpieczeństwa w komponentach Joomla!
// edit
alegorn masz rację, przepraszam za wprowadzenie w błąd.
Cytat(darko @ 8.04.2010, 11:04:23 ) 
Joomla jest dziurawa jak sito szczegóły tutaj
masz racje, i jej zupelnie nie masz.
masz racje po tym wzgledem iz faktycznie jest cala masa dodatkow, ktore umozliwiaja roznego rodzaju ataki.
tyle iz pisanie ze to joomla! jest dziurawa jak sito - jest pewnym przegieciem.
'czysta' joomla jest dosc bezpiecznym cms, wszelkie zagrozenia ktore tu wypisaliscie dotycza dodatkow, ktore sa napisane z pominieciem zasad bezpieczenstwa itp.
to tak, jakbys powiedzial ze windows jest do bani, bo programy jakie zainstalowales na kompie maja trojana...
nie demonizujmy. jesli jestes swiadomym uzytkownikiem, i przestrzegasz zasady bezpieczenstwa - nie masz zadnych powodow do obaw.
j.
Cytat
wszelkie zagrozenia ktore tu wypisaliscie dotycza dodatkow,
Przecież wyraźnie napisałem, że:
Cytat
W kilku komponentach popularnego systemu CMS - Joomla! (...)
oczywiscie, i do twojego posta nie mam zastrzezen 
odnosilem sie do cytowanego przeze mnie posta darko, choc moze malo wyraznie to zaznaczylem.
z joomla mialem wieksza stycznosc przez trzema laty, gdy dopiero wchodzila wersja 1.5, od zawsze istnial problem z bezpieczenstwem komponentow, z uwagi na ich ilosc... nie wiem jak jest obecnie, ale wtedy - liczac z calym spadkiem po mambo - dodatki byly liczone conajmniej w setkach...
naczelna zasada - instaluj tylko to co potrzebne i z pewnego zrodla, zadbanie o odpowiednie bezpieczenstwo serwera, i nie ma powodow do obaw...
j.
odnosilem sie do cytowanego przeze mnie posta darko, choc moze malo wyraznie to zaznaczylem.
z joomla mialem wieksza stycznosc przez trzema laty, gdy dopiero wchodzila wersja 1.5, od zawsze istnial problem z bezpieczenstwem komponentow, z uwagi na ich ilosc... nie wiem jak jest obecnie, ale wtedy - liczac z calym spadkiem po mambo - dodatki byly liczone conajmniej w setkach...
naczelna zasada - instaluj tylko to co potrzebne i z pewnego zrodla, zadbanie o odpowiednie bezpieczenstwo serwera, i nie ma powodow do obaw...
j.
Fenomen znany nie tylko z joomli gdzie wiekszosc komponentow pisza amatorzy i potem powstaja takie potworki :]
@blooregard: nie chce być złośliwy ale temat twojego posta jest w stylu tematów o2 itp serwisach...
"Joomla! umożliwia ataki...." wiesz jaka jest różnica pomiędzy Joomla! a dziurawymi komponentami pisanymi przez amatorów ?
"Joomla! umożliwia ataki...." wiesz jaka jest różnica pomiędzy Joomla! a dziurawymi komponentami pisanymi przez amatorów ?
Cytat
@blooregard: nie chce być złośliwy ale temat twojego posta jest w stylu tematów o2 itp serwisach...
Proszę bardzo, zaproponuj swój tytuł.
Cytat
"Joomla! umożliwia ataki...." wiesz jaka jest różnica pomiędzy Joomla! a dziurawymi komponentami pisanymi przez amatorów ?
Taka jak pomiędzy koniem i koniakiem?
Czy Wy naprawdę nie potraficie czytać ze zrozumieniem?
Cytat
W kilku komponentach popularnego systemu CMS - Joomla! (...)
Może... "Wykryto luki bezpieczeństwa w (dodatkowych) komponentach Joomla!"? Tytuł krótki i prawdziwy... Info o komponentach dodatkowych można dodać lub usunąć. Zależy jaki efekt ma wywołać całość
@blooregard:
Nie wiem co się tak miotasz i unosisz. Jako temat wpisałeś:
więc nie dziw się, że jest to odbierane tak, a nie inaczej. To, że potem piszesz:
nie zmienia faktu, że temat jest do bani. Nie potrafisz wymyślić lepszego, bardziej odpowiedniego? Żartujesz sobie.
Generalnie cała sytuacja kojarzy mi się z SMSami jakie dostają moi rodzice. Zaczynają się tak:
To widać na pierwszym ekraniku, a gdy zjedziesz niżej jest dopisane:
Nie wiem co się tak miotasz i unosisz. Jako temat wpisałeś:
Cytat
Joomla! umożliwia ataki typu Local File Inclusion
więc nie dziw się, że jest to odbierane tak, a nie inaczej. To, że potem piszesz:
Cytat
W kilku komponentach popularnego systemu CMS - Joomla! zostały odkryte luki pozwalające na dokonanie ataku znanego jako LFI (Local File Inclusion).
nie zmienia faktu, że temat jest do bani. Nie potrafisz wymyślić lepszego, bardziej odpowiedniego? Żartujesz sobie.
Generalnie cała sytuacja kojarzy mi się z SMSami jakie dostają moi rodzice. Zaczynają się tak:
Cytat
Gratulacje! Wygrałeś 1000 złotych
To widać na pierwszym ekraniku, a gdy zjedziesz niżej jest dopisane:
Cytat
szans na otrzymanie upominku.
Cytat
Nie wiem co się tak miotasz i unosisz.
Nie miotam się i nie unoszę.
Cytat
nie zmienia faktu, że temat jest do bani. Nie potrafisz wymyślić lepszego, bardziej odpowiedniego? Żartujesz sobie.
Może faktycznie nie jest szczytem "dziennikarstwa" i brzmi nieco teleaudiowato, ale jakoś nic lepszego nie przyszło mi do głowy.
Chyba raz na kilkadziesiąt newsów mogę zaliczyć wpadkę?
Zmieniłem tytuł na zaproponowany przez ~thek'a.
News miał charakter informacyjny dla osób korzystajacych z Joomla! oraz tych komponentów, gdyż uznałem, że taka informacja może się komuś przydać, a nie każdy śledzi informacje na Secunii, SecurityFocus czy OSVDB.
Dajcie już spokój, kto chce, to zrozumie wystarczy doczytać.
Cytat(blooregard @ 9.04.2010, 09:43:53 )
Nie miotam się i nie unoszę.
Czy to:
Cytat(blooregard @ 9.04.2010, 05:59:19 )
Proszę bardzo, zaproponuj swój tytuł.
nie było przypadkiem namiastką przykładowego focha?
PS: o widzisz, temat od razu lepiej pasuje do zawartości
Cytat
nie było przypadkiem namiastką przykładowego focha?
Nie było
Postaram się na przyszłość trafniej dobierać tytuły.
"Czepialscy" - odcinek 5532332
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.