Descoberta uma falha gravíssima na série 1.5.x.
Mais informações quando o patch foi liberado. Por enquanto, só recomendo a todos que façam backups de seus sites o mais rápido possível.
Falha gravíssima na série 1.5.x
-
Chico Gois
- Joomleiro
- Mensagens: 317
- Registrado em: 09 Ago 2008, 16:25
- Contato:
Re: Falha gravíssima na série 1.5.x
ainda hoje.
Re: Falha gravíssima na série 1.5.x
pessoal,
eis um fix temporário:
no arquivo: components/com_user/models/reset.php procurem pelo método: confirmReset e coloquem esse if: o resultado vai ser:
ESSE NÃO É O PATCH OFICIAL, é só uma emergência. Se preferirem, aguardem a versão 1.5.6, que deverá ser lançada nas próximas horas.
eis um fix temporário:
no arquivo: components/com_user/models/reset.php procurem pelo método: confirmReset e coloquem esse if:
Código: Selecionar todos
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}Código: Selecionar todos
function confirmReset($token)
{
global $mainframe;
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}
$db = &JFactory::getDBO();
$db->setQuery('SELECT id FROM #__users WHERE block = 0 AND activation = '.$db->Quote($token));
// Verify the token
if (!($id = $db->loadResult()))
{
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}
// Push the token and user id into the session
$mainframe->setUserState($this->_namespace.'token', $token);
$mainframe->setUserState($this->_namespace.'id', $id);
return true;
}
Re: Falha gravíssima na série 1.5.x
Joomla! 1.5.6 lançado. Mais detalhes aqui: http://www.joomla.com.br/notas-mainmenu ... a-156.html
Re: Falha gravíssima na série 1.5.x
Confirmado o exploit. Eu fiz os passos necessarios para um hack em meu proprio site e com muita facilidade troquei a senha. O exploit eh tao simples que um menino de 5 anos consegue reproduzir (nao estou brincando).
A todos aqueles que tem Joomla 1.5 com versao inferior a 1.5.6, facam atualizacao urgentemente.
Maiores detalhes sobre como corrigir o exploit: http://developer.joomla.org/security/ne ... ality.html
A todos aqueles que tem Joomla 1.5 com versao inferior a 1.5.6, facam atualizacao urgentemente.
Maiores detalhes sobre como corrigir o exploit: http://developer.joomla.org/security/ne ... ality.html
Re: Falha gravíssima na série 1.5.x
Pessoal,
O site de um cliente é versão 1.5.x e foi hackeado. Já está tudo resolvido, alterei as senhas, fiz a correção do exploit, mas gostaria de saber como é feito o update do 1.5.0 para o 1.5.6 sem comprometer o site que já está no ar.
Detalhe : meu site é em português-Br.
Valeu !
Kromm
O site de um cliente é versão 1.5.x e foi hackeado. Já está tudo resolvido, alterei as senhas, fiz a correção do exploit, mas gostaria de saber como é feito o update do 1.5.0 para o 1.5.6 sem comprometer o site que já está no ar.
Detalhe : meu site é em português-Br.
Valeu !
Kromm
Re: Falha gravíssima na série 1.5.x
Meu site foi invadido e trocaram a minha senha de login ele foi invadido pelo joomla n pelo servidor, como que eu faço para me protejer?
tive que trocar de servidor, perdi todo o site.
tive que trocar de servidor, perdi todo o site.
-
pchardnet
- Site Admin
- Mensagens: 747
- Registrado em: 14 Jul 2008, 14:14
- Localização: Belo Horizonte - MG
- Contato:
Re: Falha gravíssima na série 1.5.x
@Gislaine,
era só ter atualizado o seu Joomla! para a versão 1.5.6 que você certamente não teria problema.
@Kromm,
se o seu site não tiver nenhum Hack nos arquivos Core você só tem que enviar os arquivos do Patch para o servidor.
seguem alguns links que pode ajudar
Oficial - http://www.joomla.org/announcements/rel ... eased.html
Oficial - http://developer.joomla.org/security/ne ... ality.html
Joomla!Brasil - http://www.joomla.com.br/noticias/252-l ... a-156.html
Joomla!Minas - http://joomlaminas.org/news/joomla/88-a ... a-156.html
era só ter atualizado o seu Joomla! para a versão 1.5.6 que você certamente não teria problema.
@Kromm,
se o seu site não tiver nenhum Hack nos arquivos Core você só tem que enviar os arquivos do Patch para o servidor.
seguem alguns links que pode ajudar
Oficial - http://www.joomla.org/announcements/rel ... eased.html
Oficial - http://developer.joomla.org/security/ne ... ality.html
Joomla!Brasil - http://www.joomla.com.br/noticias/252-l ... a-156.html
Joomla!Minas - http://joomlaminas.org/news/joomla/88-a ... a-156.html
http://www.hostphi.com- Hospedagem de sites e prestação de serviços em Joomla!
http://www.joomlaminas.org - meu blog sobre o Joomla!
---
Não tiro dúvidas por MP
http://www.joomlaminas.org - meu blog sobre o Joomla!
---
Não tiro dúvidas por MP
Re: Falha gravíssima na série 1.5.x
Importante tbm ter uma cópia de segurança do BD em arquivo .sql com toda a base de dados, além do backup completo de todos os arquivos, tive diversos sites que foram invadidos por essa falha esses dias, recuperei todos com certa facilidade, bastou recompilar o Banco de dados com o arquivo de Back up que mantenho de cada um. Na pior das hipóteses vc perde só as últimas atualizações, como as faço semanalmente, perdi apenas uma semana de cada.
Vcs acham que seria bom fazer um tutorial sobre isso? Estou realmente pensando em fazer para disponibilizar no meu site. Mas só o farei depois que ele estiver 100%, visto que ainda estou desenvolvendo, acessem e me dêem suas opiniões, claro, o design está meio fraco ainda visto que estou mais preocupado com à parte funcional, ele é PHP / MySQL e não Joomla. Mas .... Caso queiram a versão que uso do EMS que é Free me mandem um email, atmicro@atmicro.com.br
http://www.atmicro.com.br/
Vcs acham que seria bom fazer um tutorial sobre isso? Estou realmente pensando em fazer para disponibilizar no meu site. Mas só o farei depois que ele estiver 100%, visto que ainda estou desenvolvendo, acessem e me dêem suas opiniões, claro, o design está meio fraco ainda visto que estou mais preocupado com à parte funcional, ele é PHP / MySQL e não Joomla. Mas ...
. Caso queiram a versão que uso do EMS que é Free me mandem um email, atmicro@atmicro.com.brhttp://www.atmicro.com.br/