Polecam bardzo gorąco wszystkim, którzy administrują serwisami postawionymi na Joolma 1.5.x, aby jak najszybciej uaktualnili ją do wersji 1.5.6!
W poprzednich wersjach istnieje bardzo niebezpieczny błąd!. Istnieje możliwość, że ktoś nieupoważniony może zresetować hasło głównego administratora.
Błąd tkwi we wszystkich wcześniejszych wersjach Joolma 1.5!
Chodzi o plik: /components/com_user/models/reset.php
{eblogads left}
Aby go naprawić należy w pliku tym po zmiennej $mainframe (w 113 linijce kodu) dopisać następujący fragment (na podstawie Security News umieszczonych na portalu Joomla Security Strike Team):
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}
Włamanie niestety również i mnie dotknęło :-( Miałem na szczęście zarchiwizowany cały serwis łącznie z bazą danych, więc po paru kliknięciach serwis już stał. Niemniej jednak fakt jest faktem. Nie ustrzegli się również przed tym atakiem autorzy projektu Joomla! Więcej informacji można przeczytać na oficjalnej polskiej stronie projektu: Polskie Centrum Joolma.
Powstała również specjalna grupa, która ma zajmować się sprawami związanymi z bezpieczeństwem Joomla: Joomla Security Strike Team