شماره: IRCNE2014032130
تاريخ:21/12/92
در آخرين به روز رساني امنيتي منتشر شده براي سيستم مديريت محتوي جوملا يك آسيب پذيري تزريق SQL برطرف شده است. اين آسيب پذيري بسيار پرخطر است و مي تواند براي استخراج اطلاعات از پايگاه داده هاي سايت هاي مبتني بر جوملا مود سوء استفاده قرار بگيرد.
روز پنج شنبه نسخه هاي 3.2.3 و 2.5.19 از سيستم منبع باز CMS منتشر شد. هر دو به روز رساني دو آسيب پذيري اسكريپت بين سايتي را در مولفه هاي هسته برطرف كرده است اما در نسخه 3.2.3 يك رخنه تزريق SQL و يك رخنه ورود غير مجاز به سيستم در پلاگين تاييد هويت مبتني بر جيميل نيز اصلاح شده است.
راهنمايي امنيتي جوملا براي آسيب پذيري تزريق SQL فاقد جزئيات فني مي باشد. در اين راهنمايي امنيتي تنها به اين نكته اشاره شده است كه اين رخنه به عنوان رخنه با خطر بالا رده بندي شده است و سيستم CMS جوملا نسخه 3.1.0 تا 3.2.2 را تحت تاثير قرار مي دهد.
محققان امنيتي شركت Secunia در راهنمايي امنيتي آورده اند: سوء استفاده موفقيت آميز از اين آسيب پذيري مستلزم آن است كه سايت آلوده از ماژول Similar Tags استفاده نمايد.
با توجه به اسناد رسمي جوملا، Similar Tags يكي از ماژول هايي است كه به طور پيش فرض با CMS منتشر شده است.
تزريق SQL يكي از رايج ترين انواع رخنه است كه توسط مهاجمان مورد سوء استفاده قرار مي گيرد تا وب سايت ها را در معرض خطر قرار دهند. بنا به جزئيات فني خاص، اين آسيب پذيري ها به مهاجمان اجازه مي دهند تا كد جعلي را به سايت ها تزريق كنند يا داده هاي حساس را از پايگاه داده آن ها سرقت نمايند.
به نظر مي رسد آسيب پذيري تزريق SQL كه اخيرا توسط جوملا برطرف شده است اجازه تزريق كد را نمي دهد و براي استخراج اطلاعاتي مانند نام كاربري و رمز عبور درهم سازي شده از پايگاه داده تنها فراخوان هاي SELECT را دستكاري مي كند.
هم چنين مشكل موجود در پلاگين تاييد هويت مبتني بر جيميل خطرناك است. اين پلاگين به كاربران اجازه مي دهد تا براي احراز هويت بر روي سايت هاي جوملا به جاي ايجاد حساب كاربري جديد از نام كاربري و رمز عبور حساب جيميل خود استفاده نمايند.
مشخص نيست كه چه تعداد از وب سايت هاي موجود بر روي اينترنت از جوملا استفاده مي كنند اما بنا به آمارهاي موجود در W3Techs، جوملا بعد از وردپرس محبوب ترين سرويس مديريت محتوي وب سايت ها مي باشد. هم چنين داده هاي جمع آوري شده توسط W3Techs نشان مي دهد كه تنها 8 درصد از سايت هاي جوملا از نسخه 3.x آن استفاده مي كنند در حالي كه بيش از 50 درصد از كاربران هم چنان از نسخه پشتيباني نشده 1.x استفاده مي كنند.
- 2