جوملاخانهسیستم مدیریت محتواعمومی

رفع مشکل آسیب پذیری امنیتی کشف شده در تمام نسخه های جوملا 1.5 و 2.5 و 3

رفع مشکل آسیب پذیری امنیتی کشف شده در تمام نسخه های جوملا 1.5 و 2.5 و 3

در طی 6 روز اخیر آسیب پذیری بسیار جدی در سیستم مدیریت محتوای جوملا از نوع Remote Code Execution کشف شد که تمام نسخه های این سیستم مدیریت محتوا را یعنی 1.5 و 2.5 و 3 را تحت تاثیر خود قرار داده است،(مشکل امنیتی در نسخه 1.5 تا 3.4.5 جوملا وجود دارد.) این آسیب پذیری دسترسی کامل از راه دور را برای حمله کننده فراهم می کند، این آسیب پذیری به حدی جدی و آشکار شده است که به راحتی می تواند مورد استفاده قرار گیرد.

از روز دوشنبه حملات اولیه توسط IP های 146.0.72.83 و 74.3.170.33 و 194.28.174.106 شروع شده است و به مراتب حملات شده یافته است و به نظر IP ها با یکدیگر هچ ارتباطی نداشته اند و نفوذگران برای این که نشان دهند کدام یک قدرت بیشتری دارند سایت های دیگری را مورد حمله قرار داده اند در حال حاظر آزمایشگاه های امنیتی بلاک کردن و محدود کردن دسترسی یکسری از IP ها را به سایت راهکار ابتدایی جهت جلوگیری از حملات دانسته اند اما این راه حل اساسی و منطقی جهت رفع این مشکل نیست.

این آسیب پذیری از 6 روز اخیر کشف شده است و تاکید می کنیم که این مشکل امنیتی بسیار خطرناک است و هرچه سریع تر میبایست نسبت به رفع این مشکل اقدام کنید.

راه حل اساسی جهت رفع آسیب پذیری کشف شده در جوملا چیست ؟

در حال حاضر برخی از سایت ها محدود کردن دسترسی برخی از IP ها را راه حل رفع مشکل می دانند و برخی دیگر راه حل هایی جهت محدود سازی فایروال های سرور ارائه نموده اند و برخی دیگر از سایت ها تغییر برخی از کد های هسته جوملا را راه حل اساسی جهت رفع این مشکل دانسته اند اما سایت اصلی جوملا جهانی joomla.org تنها راه حل اساسی رفع این مشکل را آپدیت به آخرین نسخه جوملا یعنی جوملا 3.4.6 دانسته است و با توجه به عدم پشتیبانی از سایر ورژن های جوملا بهتر است سایت خود را به ورژن 3.4.6 که در آن این آسیب پذیری خطرناک رفع شده است آپدیت نمایید.

اما مخاطبین سایر ورژن های جوملا مانند 1.5 و 2.5 که به راحتی نمی توانند سایت خود را به 3.4.6 آپدیت کنند، چه کار کنند ؟

پاسخ : در حال حاضر بهترین راه این است که فایل های اصلی هسته جوملای خود را به 3.4.6 که این مشکل در آن رفع شده است آپدیت نمایید و این کار از طریق استفاده از فایل های patch که توسط جوملا جهانی ارائه شده است امکان پذیر می باشد که در زیر به آموزش انجام این کار می پردازیم.

رفع آسیب پذیری اجرای کد از راه دور در جوملا 1.5

لطفا فایل patch برای جوملا 1.5 را از جوملا جهانی به لینک Remote Code Execution patch دانلود نمایید.

رفع آسیب پذیری اجرای کد از راه دور در جوملا 2.5

لطفا فایل patch برای جوملا 2.5 را از جوملا جهانی به لینک Remote Code Execution patch دانلود نمایید.

نحوه استفاده از فایل patch برای جوملا 1.5 و 2.5

جهت استفاده از فایل های patch لطفا وارد هاست خود شوید، و پس از ورود به دایرکتوری root جوملا (دایرکتوری که تمام فایل های و شاخه های اصلی جوملا در آن موجود اند.) فایل های patch با فرمت zip را که از لینک های بالا دریافت کردید را در این شاخه آپلود نمایید و سپس آن را Extract فرمایید، فایل موجود در این پوشه به صورت خودکار بر روی مسیر زیر در جوملا جایگزین می شود.

libraries/joomla/session/session.php

رفع آسیب پذیری اجرای کد از راه دور در جوملا 3

توجه : قبل از آپدیت جوملا 3 به جوملا 3.4.6 حتما از فایل ها و دیتابیس سایت خود بکاپ بگیرید.

جهت رفع مشکل امنیتی کشف شده در جوملا 3 میبایست آن را به ورژن 3.4.6 آپدیت نمایید جهت انجام این کار می توانید از قسمت کامپوننت ها بر روی joomla update کلیک فرمایید و جوملای خود را به ورژن 3.4.6 آپدیت فرمایید این نوع بروزرسانی را بروزرسانی از طریق Extension می دانیم که قبل از اجرای آن باید مطمئن باشید که تمام افزونه های فعلی سایت شما از ورژن 3.4.6 پشتیبانی می کنند، راه دوم بروزرسانی جوملا 3 به 3.4.6 استفاده از فایل های آپگرید تمام ورژن های جوملا 3 به 3.4.6 می باشد کی می توانید فایل های آپگرید را از این لینک دریافت و بر روی هاست خود آپلود و Extract فرمایید، مجددا تاکید می کنم که قبل از انجام این کار از تمام فایل ها و دیتابیس جوملای خود بکاپ بگیرید.

منبع : joomla.org

و در پایان …

دوستان و کاربران عزیزی که از سیستم مدیریت محتوای جوملا برای مدیریت سایت های خود استفاده می کنید، نظر شما در مورد این سیستم مدیریت محتوا و بروزرسانی های امنیتی پی در پی برای آن چیست ؟ آیا از بروزرسانی های امنیتی این نرم افزار سریعا توسط منبع خاصی مطلع می گردید ؟ لطفا آن را از طریق ارسال نظر به سایرین معرفی کنید، نظر شما در مورد بروزرسانی های این نرم افزار که تا به حال در بیشتر از سه نسخه متفاوت 1.5 و 2.5 و 3 منتشر شده است چیست ؟ نظر شما در مورد استفاده از این سیستم مدیریت محتوا در مقابل سیستم مدیریت محتوا هایی مانند وردپرس که با کلیک کردن بر روی یک دکمه یا حتی گاهی اوقات به صورت اتوماتیک و بسیار سریع به صورت خودکار آپدیت می شوند چیست ؟ نظرات و پیشنهادات خود را از همین طریق با ما به اشتراک بگذارید.


(1) tnt6667 - صفحه 14 - انجمن جوملای ایران
tnt6667 - صفحه 14 - انجمن جوملای ایران آموزش جوملا و طراحی سایت


(2) کسپرسکی آسیبپذیری امنیتی جدی در MICROSOFT WORD کشف نمود
کسپرسکی آسیبپذیری امنیتی جدی در microsoft word کشف نمود. بی شک با نام کمپانی کسپرسکی آشنایی دارید کسپرسکی شرکتی روسی که در زمینه امنیت کامپیوتر فعال است و محصولاتی با نامهای ضدویروس کاسپرسکی آنتیویروس و آنتیویروس


(3) آشنایی با پروتکل امنیتی SSL متفرقه
آشنایی با پروتکل امنیتی SSL متفرقه


(4) کشف آسیبپذیری بحرانی 17 ساله در ویندوز سرور - خبرگزاری
Vor 1 Tag مرکز مدیریت راهبردی افتا نسبت به کشف آسیبپذیری بحرانی 17 ساله در ویندوز سرور هشدار داد و اعلام کرد این آسیب پذیری به هکرها اجازه می دهد که اطلاعات هویتی کاربران را شناسایی و استخراج کنند.


(5) آسیب پذیری های امنیتی وردپرس چیست وردپرس از این 5 نقطه
1- حملات Brute Force بروت فورس یکی از مهمترین آسیب پذیری های امنیتی وردپرس ضعف در مقابله با حملات از نوع Brute Force است. در این دسته از حملات هکرها با آزمون و خطا ملیاردها ملیارد رمزعبور و نامکاربری سعی در کشف اطلاعات ورود


(6) آسیبپذیری امنیتی FREAK وبلاگ ایران سرور
آسیبپذیری جدیدی در SSLTLS کشف شدهاست که به نام FREAK یا حمله FREAK شناخته میشود. در این آسیبپپذیری نفوذ گر بین ارتباط https کلاینت و سرورهای آسیب پذیر قرار گرفته و آنها را مجبور به استفاده از رمز نگاری ضعیفتر مینماید.


(7) اسپکتر آسیب پذیری امنیتی - ویکیپدیا دانشنامه آزاد
در 8 اکتبر 2018 گزارش شده است که اینتل کاهش سخت افزار و سیستم عامل را در رابطه با آسیب پذیریهای اسپکتر و ملتداون نسبت به پردازندههای رودخانه قهوه Coffe Lake-R و به بعد آن اضافه کرده است.


(8) تمام ناتمام من با تو تمام می شود
تمام ناتمام من با تو تمام می شود. کامپیوتر عمومی


(9) رفع یک باگ امنیتی در گوشی های سامسونگ پس از 6 سال - ترنجی
کمی عجیب است اما واقعا امروز شاهد رفع یک باگ امنیتی در گوشی های سامسونگ هستیم. این باگ امنیتی به همراه 19 باگ دیگر در نرم افزارهای سامسونگ و 9 باگ اندروید در آپدیت اخیر سامسونگ برطرف شده است.


(10) آخرین اخبار وصله های امنیتی - خبربان
شرکت سیسکو از عرضه وصله های امنیتی جدید برای رفع آسیب پذیری های روترها و وی پی ان های خود خبر داد. به گزارش خبرنگار گروه علمی و دانشگاهی خبرگزاری فارس به نقل از زد دی نت آسیب پذیری های سیسکو به هکرها امکان می دهد از راه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هفت − 6 =

دکمه بازگشت به بالا