Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Zasady panujące na forum News

1. Posty w tym forum są poddawane moderacji więc nie dodawaj ich kilka razy.
2. Akceptujemy tylko wartościowe wiadomości o php lub pochodnych
3. Publikacja newsa na wortalu po moderacji oscyluje w granicach 30min
4. Wstawiane grafiki powinny mieć maksymalną szerokość 357px

Zapraszamy do uzupełniania wortalu o ciekawe informacje :)

 
 Reply to this topicStart new topic
> Wykryto luki bezpieczeństwa w komponentach Joomla!
blooregard
post 8.04.2010, 09:46:27
Post #1


Newsman


Grupa: Moderatorzy
Postów: 2 033
Pomógł: 290
Dołączył: 21.12.2007
Skąd: Łódź
W kilku komponentach popularnego systemu CMS - Joomla! zostały odkryte luki pozwalające na dokonanie ataku znanego jako LFI (Local File Inclusion). Podatność stwierdzono w User Status Component, webERPcustomer Component, VJDEO Component, Datafeeds Component, Highslide JS Component, Flickr Controller, Jukebox Component, J!WHMCS Integrator Component, Seber Cart Component oraz iJoomla News Portal. Dodatkowo w XOBBIX Component znaleziono lukę SQL Injection.

Dodatkowe informacje na temat podatności można znaleźć na stronie:
http://secunia.com/advisories/
Powód edycji: [blooregard]:


--------------------
Life's simple... You make choices and don't look back...
Go to the top of the page
+Quote Post
darko
post 8.04.2010, 10:04:23
Post #2





Grupa: Zarejestrowani
Postów: 2 885
Pomógł: 463
Dołączył: 3.10.2009
Skąd: Wrocław

Ostrzeżenie: (0%)
-----

Joomla jest dziurawa jakKomponenty Joomli są dziurawe jak sito szczegóły tutaj
// edit
alegorn masz rację, przepraszam za wprowadzenie w błąd.

Ten post edytował darko 8.04.2010, 10:37:05


--------------------
Nie pomagam na pw, tylko forum.
Go to the top of the page
+Quote Post
alegorn
post 8.04.2010, 10:22:55
Post #3





Grupa: Zarejestrowani
Postów: 341
Pomógł: 40
Dołączył: 23.06.2009

Ostrzeżenie: (0%)
-----

Cytat(darko @ 8.04.2010, 11:04:23 ) *
Joomla jest dziurawa jak sito szczegóły tutaj


masz racje, i jej zupelnie nie masz.

masz racje po tym wzgledem iz faktycznie jest cala masa dodatkow, ktore umozliwiaja roznego rodzaju ataki.

tyle iz pisanie ze to joomla! jest dziurawa jak sito - jest pewnym przegieciem.
'czysta' joomla jest dosc bezpiecznym cms, wszelkie zagrozenia ktore tu wypisaliscie dotycza dodatkow, ktore sa napisane z pominieciem zasad bezpieczenstwa itp.

to tak, jakbys powiedzial ze windows jest do bani, bo programy jakie zainstalowales na kompie maja trojana...

nie demonizujmy. jesli jestes swiadomym uzytkownikiem, i przestrzegasz zasady bezpieczenstwa - nie masz zadnych powodow do obaw.

j.
Go to the top of the page
+Quote Post
blooregard
post 8.04.2010, 10:24:22
Post #4


Newsman


Grupa: Moderatorzy
Postów: 2 033
Pomógł: 290
Dołączył: 21.12.2007
Skąd: Łódź
Cytat
wszelkie zagrozenia ktore tu wypisaliscie dotycza dodatkow,

Przecież wyraźnie napisałem, że:
Cytat
W kilku komponentach popularnego systemu CMS - Joomla! (...)


--------------------
Life's simple... You make choices and don't look back...
Go to the top of the page
+Quote Post
alegorn
post 8.04.2010, 10:31:42
Post #5





Grupa: Zarejestrowani
Postów: 341
Pomógł: 40
Dołączył: 23.06.2009

Ostrzeżenie: (0%)
-----

oczywiscie, i do twojego posta nie mam zastrzezen smile.gif

odnosilem sie do cytowanego przeze mnie posta darko, choc moze malo wyraznie to zaznaczylem.

z joomla mialem wieksza stycznosc przez trzema laty, gdy dopiero wchodzila wersja 1.5, od zawsze istnial problem z bezpieczenstwem komponentow, z uwagi na ich ilosc... nie wiem jak jest obecnie, ale wtedy - liczac z calym spadkiem po mambo - dodatki byly liczone conajmniej w setkach...

naczelna zasada - instaluj tylko to co potrzebne i z pewnego zrodla, zadbanie o odpowiednie bezpieczenstwo serwera, i nie ma powodow do obaw...

j.
Go to the top of the page
+Quote Post
marcio
post 8.04.2010, 12:38:23
Post #6





Grupa: Zarejestrowani
Postów: 2 291
Pomógł: 156
Dołączył: 23.09.2007
Skąd: ITALY-MILAN

Ostrzeżenie: (10%)
X----

Fenomen znany nie tylko z joomli gdzie wiekszosc komponentow pisza amatorzy i potem powstaja takie potworki :]


--------------------
Zainteresowania: XML | PHP | MY(SQL)| C# for .NET | PYTHON
http://code.google.com/p/form-builider/
Moj blog
Go to the top of the page
+Quote Post
yankes
post 9.04.2010, 00:05:16
Post #7





Grupa: Zarejestrowani
Postów: 41
Pomógł: 1
Dołączył: 13.01.2006

Ostrzeżenie: (0%)
-----

@blooregard: nie chce być złośliwy ale temat twojego posta jest w stylu tematów o2 itp serwisach...
"Joomla! umożliwia ataki...." wiesz jaka jest różnica pomiędzy Joomla! a dziurawymi komponentami pisanymi przez amatorów ? smile.gif



Go to the top of the page
+Quote Post
blooregard
post 9.04.2010, 04:59:19
Post #8


Newsman


Grupa: Moderatorzy
Postów: 2 033
Pomógł: 290
Dołączył: 21.12.2007
Skąd: Łódź
Cytat
@blooregard: nie chce być złośliwy ale temat twojego posta jest w stylu tematów o2 itp serwisach...

Proszę bardzo, zaproponuj swój tytuł.

Cytat
"Joomla! umożliwia ataki...." wiesz jaka jest różnica pomiędzy Joomla! a dziurawymi komponentami pisanymi przez amatorów ?

Taka jak pomiędzy koniem i koniakiem?

Czy Wy naprawdę nie potraficie czytać ze zrozumieniem?
Cytat
W kilku komponentach popularnego systemu CMS - Joomla! (...)


--------------------
Life's simple... You make choices and don't look back...
Go to the top of the page
+Quote Post
thek
post 9.04.2010, 08:30:59
Post #9





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D
Może... "Wykryto luki bezpieczeństwa w (dodatkowych) komponentach Joomla!"? Tytuł krótki i prawdziwy... Info o komponentach dodatkowych można dodać lub usunąć. Zależy jaki efekt ma wywołać całość smile.gif


--------------------
Najpierw był manual... Jeśli tam nie zawarto słów mądrości to zapytaj wszechwiedzącego Google zadając mu własciwe pytania. A jeśli i on milczy to Twój problem nie istnieje :D
Go to the top of the page
+Quote Post
phpion
post 9.04.2010, 08:32:47
Post #10





Grupa: Moderatorzy
Postów: 6 070
Pomógł: 860
Dołączył: 10.12.2003
Skąd: Dąbrowa Górnicza
@blooregard:
Nie wiem co się tak miotasz i unosisz. Jako temat wpisałeś:
Cytat
Joomla! umożliwia ataki typu Local File Inclusion

więc nie dziw się, że jest to odbierane tak, a nie inaczej. To, że potem piszesz:
Cytat
W kilku komponentach popularnego systemu CMS - Joomla! zostały odkryte luki pozwalające na dokonanie ataku znanego jako LFI (Local File Inclusion).

nie zmienia faktu, że temat jest do bani. Nie potrafisz wymyślić lepszego, bardziej odpowiedniego? Żartujesz sobie.

Generalnie cała sytuacja kojarzy mi się z SMSami jakie dostają moi rodzice. Zaczynają się tak:
Cytat
Gratulacje! Wygrałeś 1000 złotych

To widać na pierwszym ekraniku, a gdy zjedziesz niżej jest dopisane:
Cytat
szans na otrzymanie upominku.
Go to the top of the page
+Quote Post
blooregard
post 9.04.2010, 08:43:53
Post #11


Newsman


Grupa: Moderatorzy
Postów: 2 033
Pomógł: 290
Dołączył: 21.12.2007
Skąd: Łódź
Cytat
Nie wiem co się tak miotasz i unosisz.

Nie miotam się i nie unoszę.

Cytat
nie zmienia faktu, że temat jest do bani. Nie potrafisz wymyślić lepszego, bardziej odpowiedniego? Żartujesz sobie.

Może faktycznie nie jest szczytem "dziennikarstwa" i brzmi nieco teleaudiowato, ale jakoś nic lepszego nie przyszło mi do głowy.
Chyba raz na kilkadziesiąt newsów mogę zaliczyć wpadkę?

Zmieniłem tytuł na zaproponowany przez ~thek'a.

News miał charakter informacyjny dla osób korzystajacych z Joomla! oraz tych komponentów, gdyż uznałem, że taka informacja może się komuś przydać, a nie każdy śledzi informacje na Secunii, SecurityFocus czy OSVDB.


--------------------
Life's simple... You make choices and don't look back...
Go to the top of the page
+Quote Post
darko
post 9.04.2010, 09:07:56
Post #12





Grupa: Zarejestrowani
Postów: 2 885
Pomógł: 463
Dołączył: 3.10.2009
Skąd: Wrocław

Ostrzeżenie: (0%)
-----

Dajcie już spokój, kto chce, to zrozumie wystarczy doczytać.


--------------------
Nie pomagam na pw, tylko forum.
Go to the top of the page
+Quote Post
phpion
post 9.04.2010, 11:03:16
Post #13





Grupa: Moderatorzy
Postów: 6 070
Pomógł: 860
Dołączył: 10.12.2003
Skąd: Dąbrowa Górnicza
Cytat(blooregard @ 9.04.2010, 09:43:53 ) *
Nie miotam się i nie unoszę.

Czy to:
Cytat(blooregard @ 9.04.2010, 05:59:19 ) *
Proszę bardzo, zaproponuj swój tytuł.

nie było przypadkiem namiastką przykładowego focha? dry.gif

PS: o widzisz, temat od razu lepiej pasuje do zawartości smile.gif
Go to the top of the page
+Quote Post
blooregard
post 9.04.2010, 11:11:18
Post #14


Newsman


Grupa: Moderatorzy
Postów: 2 033
Pomógł: 290
Dołączył: 21.12.2007
Skąd: Łódź
Cytat
nie było przypadkiem namiastką przykładowego focha?

Nie było smile.gif

Postaram się na przyszłość trafniej dobierać tytuły.


--------------------
Life's simple... You make choices and don't look back...
Go to the top of the page
+Quote Post
darko
post 9.04.2010, 11:14:50
Post #15





Grupa: Zarejestrowani
Postów: 2 885
Pomógł: 463
Dołączył: 3.10.2009
Skąd: Wrocław

Ostrzeżenie: (0%)
-----

"Czepialscy" - odcinek 5532332


--------------------
Nie pomagam na pw, tylko forum.
Go to the top of the page
+Quote Post
« Następny starszy · Newsy · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 19.04.2024 - 21:02
Powered By IP.Board © 2024  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn