أخبار الثغرات

اطلاق الاصدار 1.5.11 من سكريبت ادارة المحتوى جملة!

تم أرشفة هذا المحتوى


أعلن فريق تطوير سكريبت ادارة المحتوى Joomla عن اصدار تحديث أمني عاجل يصلح أكثر من 26 مشكلة اكتشفت في سكريبت جملة! بالاضافة لثلاث ثغرات اثنتين منهم متوسطة الخطورة. يأتي هذا التحديث بعد مرور 3 أشهر تقريبا على اطلاق الاصدار 1.5.10 من جملة! بتاريخ 13 مارس (آذار) 2009.

Joomla! يعود سبب الثغرات المكتشفة لخطأ في طريقة تحقق جملة! من مدخلات المستخدم مما يؤدي لثغرة XSS يتمكن المهاجم من استغلالها بعد توجيه المستخدم لرابط يحتوي على أكواد ضارة تؤدي لسرقة Cookies المستخدم والدخول لحسابه دون الحاجة لمعرفة كلمة المرور.

احدى الثغرات أصابت مكوّن المستخدمين com_users وأخرى أصابت قالب ja_purity (احدى قوالب جملة الافتراضية) وأخيرا مكوّن الواجهة الرئيسية Front-end في سكريبت جملة!

نحن ننصح جميع مستخدمي سكريبت جملة! 1.5 بالتحديث الفوري للاصدار 1.5.11 وتنصيب الرقع الأمنية بعد تحميلهم من هنا. حتى الآن لم ينتشر استغلال علني في مواقع الثغرات لكن يمكن لأي شخص أن يقارن الملفات الجديدة بالقديمة ويستنتج مكان الثغرة واستغلالها بسهولة.

لمزيد من المعلومات: Joomla.org

تحديث (2009-06-06): انتشر استغلال للثغرة بشكل علني تجدونه في موقع PacketStormSecurity.org

‫4 تعليقات

  1. سوف يكون لي تعامل مع هدا السكربت في احد المشاريع التي افكر فيها .. وانا اعتبره احسن CMS متوفر حاليا يناسب كل الاختصاصات

  2. صحيح جملة! أقوى وأكبر سكربت ادارة محتوى وحائز على عدة جوائز. وعكس ما يظن الكثيرين مستوى حماية سكريبت جملة مرتفع جدا مقارنة مع السكربتات الثانية لكنه ليس مرن والتعامل معه وتطويره معقد نوعا ما.

    أغلب الثغرات المكتشفة تكون في الاضافات التي لا تتبع معايير جملة! خصوصا عند التأكد من مدخلات المستخدم وبشكل عام الثغرات التي تكتشف في جملة! ليست خطيرة ويتم اصدار تحديث لها بشكل فوري قبل أن تنتشر لكن لا يخلو الأمر من كم ثغرة “قاتلة” اكتشفت مسبقا أثرت على سمعة السكريبت.

    في جميع سكريبتات PHP لا نستطيع الاعتماد على السكريبت نفسه في الحماية لأن سكريبت بهذا الحجم من الطبيعي أن يكتشف به ثغرة بأي لحظة لذلك يجب الاعتماد على اعدادات السيرفر لمنع استغلال أي ثغرة حتى لو انتشرت.

    بالمناسبة اذا احتجت مساعدة في جملة! أنا جاهز وأتوقع أن ايميلي موجود عندك وتستطيع التواصل معي بأي وقت 🙂

    تحياتي…

  3. لفت نظرى < صحيح جملة! أقوى وأكبر سكربت ادارة محتوى وحائز على عدة جوائز. وعكس ما يظن الكثيرين مستوى حماية سكريبت جملة مرتفع جدا مقارنة مع السكربتات الثانية لكنه ليس مرن والتعامل معه وتطويره معقد نوعا ما. >

    هل بالامكان توضيح امكانيات و عمل مقارنة بين كل من :

    Joomla & WordPress &Drupal

    بحيث نتعرف على مزاياهم و يا حبذا لو تم ذكر التطبيقات المناسبة لكل منهم و ….

    و جزاكم الله خيرا

  4. أخي سؤلك يحتاج موقع مختص بتطوير المواقع وهذا ليس اختصاص iSecur1ty 🙂

    على كل حال سأجاوبك بشكل سريع بخصوص الجانب الأمني وحسب تجربتي وتعاملي مع WordPress و Joomla!

    جملة تتفوق على ووردبريس في الحماية عكس مايظن البعض! لسبب بسيط وهام أن لوحة تحكم الموقع Backend معزولة عن الموقع Frontend هذا يحمي المدراء من ثغرات XSS و CSRF وبعض المشاكل الأخرى. أما في ووردبريس المستخدم فيه يدخل للوحة التحكم وغير معزول عنها هذا يعني أن مدارء الموقع سيكونوا معرضين لهجمات XSS/CSFR بشكل أكبر.

    كما أن جملة توفر طرق آمنة لاستقبال مدخلات المستخدم والتعامل معها والسكريبت بحد ذاته Framework يحتوي على الكثير من المزايا الأمنية الأخرى.

    النقطة الثانية الاضافات سكريبت جملة أكبر من ووردبريس واضافاته أكثر بكثير وأضخم (يوجد اضافات حجمها أكبر من سكريبت ووردبريس نفسه!), أغلب الثغرات التي تكتشف هي في الاضافات الضعيفة التي تم برمجتها دون اتباع معايير جملة لبرمجة الاضافات وأحيانا في بعض الاضافات الكبيرة مثلها مثل أي سكريبت PHP آخر.

    عدد الثغرات التي اكتشتف بسكريبت جملة والتي تم نشرها بشكل علني قليل مقارنة مع سكريبتات ثانية لكن كما ذكرت سابقا لايخلوا الأمر من بعض الثغرات الخطيرة منها الثغرة التي اكتشفت في الاصدار 1.5.7 أثرت على سمعة جملة بشكل كبير!

    أي سكريبت تستخدمه يجب أن تتابع تطويره أول بأول ويجب أن تعتمد على السيرفر واعداداته في الحماية من ثغرات PHP وعدم الاكتفاء بحماية السكريبت لأن سكريبتات PHP بشكل عام أثبتت ضعف حمايتها وبجدارة!

    جملة: حماية أكبر, السكريبت أضخم, تطوير أصعب, مرونة أقل. دعمه عربيا جيد
    ووردبريس: حماية جيدة, يجمع بين المرونة وسهولة التطوير. دعمه عربيا ممتاز
    دروبال: اطلعت عليه بشكل سريع وتستطيع القول أنه يجمع بين جملة و ووردبريس. دعمه عربيا سيء.

    مرة أخرى هذا رأيي الشخصي فقط! ويحتمل الصحة ويحتمل الخطأ.

    – في المرة القادمة استخدم ايميل حقيقي أو قم بالتسجيل في الموقع والا سأضطر آسفا لعدم نشر تعليقك!

    تحياتي.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى