[GCERT-042008] Kelemahan pada aplikasi Joomla! 1.5.x - Administrator
Remote Password Reset
Thursday, 14 August 2008
GCERT telah menerima makluman bahawa terdapat kelemahan pada aplikasi
Joomla! versi 1.5.x yang digunakan oleh beberapa laman web agensi
kerajaan yang terdedah kepada ancaman password reset bagi akaun
Administrator secara jarak jauh.
Kelemahan tersebut akan membolehkan kata laluan bagi 'Administrator'
diubah dan seterusnya membolehkan penceroboh menukar maklumat yang
terdapat pada laman web berkenaan. Penceroboh juga berupaya untuk
memasukkan backdoor ke server berkenaan dan seterusnya mendapat kawalan
penuh terhadap server web tersebut.
Nama kelemahan : Joomla "token" Password Change Vulnerability
Versi Berisiko : Semua aplikasi Joomla! CMS versi 1.5.0 - 1.5.5
Tarikh Dikesan : 12 Ogos 2008
Tarikh Penyelesaian : 13 Ogos 2008
Kaedah Serangan
Penceroboh boleh reset kata laluan bagi akaun pertama yang masih aktif
(kebiasaannya adalah akaun Administrator)
Kesan Serangan
Penceroboh akan login sebagai Administrator dan berupaya membuat
pelbagai perubahan termasuk mengubah kandungan laman web, mencipta akaun
pengguna yang baru, memuatnaik backdoor, memasang perisian bot, dll.
Penyelesaian
1. Menukar (rename) akaun (login ID) 'Administrator' ke nama yang lain.
2. Menukar (rename) folder 'administrator' ke nama yang lain.
3. Menaiktaraf Joomla! CMS ke versi 1.5.6 atau audit source code bagi
fail 'reset.php'
Maklumat Lanjut
Untuk maklumat lanjut, sila layari:
1.
http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html
2. http://secunia.com/advisories/31457/
3.
http://gcert.mampu.gov.my/index.php?option=com_content&task=view&id=209&Itemid=1
--
Harisfazillah Jamel
R&D Team
Open Source Competency Centre (OSCC),
Lot E302-E304, Enterprise Building 3,
63000 Cyberjaya, Malaysia.
Tel. 603 83191200, Fax: 603 83193206
Mobile : 019-6085482
email : [EMAIL PROTECTED] [EMAIL PROTECTED]
http://blog.harisfazillah.info/
---
OSCC MAMPU MyMeeting Version 2.0 Release
http://knowledge.oscc.org.my/solution-areas/application/mymeeting
begin:vcard
fn:Harisfazillah Jamel
n:Jamel;Harisfazillah
org:OSCC MAMPU;RnD
adr:;;;;;;Malaysia
email;internet:[EMAIL PROTECTED]
tel;work:60383191200
tel;cell:60196085482
x-mozilla-html:FALSE
url:http://blog.harisfazillah.info
version:2.1
end:vcard
_______________________________________________
OSCC Knowledge Bank Mailing List
* To visit MAMPU Opensource on the web, go to:
http://opensource.mampu.gov.my
* To visit OSCC Knowledge Bank on the web, go to:
http://oscc.org.my
* To unsubscribe from this group, please go here:
http://lists.oscc.org.my/mailman/listinfo/oscc-announce
