Portál AbcLinuxu, 2. května 2025 17:30

Bezpečnostní chyby v CMS Joomla! a Drupal

Ve svobodných systémech pro správu obsahu (CMS) Joomla! a Drupal byly nalezeny a opraveny bezpečnostní chyby. Tři kritické zranitelnosti (SQL Injection) byly opraveny v Joomla! 3.4.5. V Drupalu 7.41 byla opravena zranitelnost „otevřeného přesměrování“. [CSIRT.CZ]

23.10.2015 21:12 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

24.10.2015 01:07 Odin1918 | skóre: 6 | blog: Valhalla
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
Odpovědět | Sbalit | Link | Blokovat | Admin
Spravce narodni domeny zkouma bezpecnost cms? To je jako nechat cisnika z kavarny operovat pacienta v privatni nemocnici.
mirec avatar 24.10.2015 10:46 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal

Áno, je lepšie keď správca národnej domény za vyzbierané peniaze neurobí ani API, núti ľudí zmluvy podpisovať u notára a všetko rieši papierovo ako na slovensku.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
24.10.2015 12:44 Odin1918 | skóre: 6 | blog: Valhalla
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
Kdyz je sk spravce tak spatny, proc lidi kupuji sk domeny? Mohou prece sahnout po jinem tld. Take by mne zajimalo, jak nekoho nuti podepsat smlouvu nejaky notar.
mirec avatar 24.10.2015 13:51 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal

Zmluvy s sk-nic musia byť overené u notára. Ja som dávno chcel presunúť doménu linuxos.sk na mňa ... lenže musel by súčasný majiteľ overiť zmluvu o prevode domény u notára. Ja by som musel tú istú zmluvu overiť u notára + overiť u notára žiadosť o registráciu sk-nic. No a ešte sú tu otrasné doby čakania. Predpokladal by som, že keď už máme občianske preukazy aj s čítačkou tak sa bude takáto vec dať vybaviť elektronicky.

Ja nechápem to nadávanie na cz-nic. Mať také služby tak som veľmi veľmi rád. Okrem toho čo už s tými peniazmi ktoré vyzbierajú? Ak nepotrebujú práve investovať do infraštruktúry tak by som bol veľmi rád že by sa peniaze namiesto prežratia ako u nás použili na vydávaie kníh atď. Znižovať ceny nemá moc zmysel, kto chce doménu tak na to má, vyššia cena odradí od skupovania kadečoho.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
24.10.2015 14:39 Odin1918 | skóre: 6 | blog: Valhalla
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
Na tom overovani nevidim nic spatneho. Jsou to proste podminky, ktere musi clovek splnit, aby mohl nakladat s sk domenou. Subjekt, ktery spravu vykonava, ma plne pravo si tyto podminky stanovit. Komu se to nelibi, nemusi kupovat sk domenu, muze sahnout po jinem tld.
Ja nechápem to nadávanie na cz-nic. Mať také služby tak som veľmi veľmi rád.
cz nicu si vazim za to, co ma delat a dela to dobre. Jako spravci narodni domeny mu nic nevycitam, jelikoz tuto cinnost dela podle meho nazoru perfektne.

Vadi mi jejich dalsi projekty, ktere se spravou domeny vubec nesouvisi a slouzi jen jako hladova zed vytvarejici zbytecne pracovni pozice. Jak omg souvisi treba aplikace pro postizene lidi s narodni domenou? Nijak. Nemam rad neefektivitu a plytvani a tyto a podobne projekty jsou toho jasnym pripadem. Jak souvisi tv spoty ve statni televizi se spravou narodni domeny? Opet nijak. Jak souvisi router ve jmenu bezpecnosti sledujici provoz uzivatele se spravou narodni domeny? Opet a znovu nijak.

Byl jste nekdy na konferenci, kde by vystoupil nekdo z cz nic? Ja ano. Poslali prezentovat cloveka, ktery se bal vystoupit pred lidmi, trasl se, preskakoval mu hlas, koktal. Recnik musi umet zaujmout a mluvit. Toto vystoupeni vsak bylo horsi, nez kdyz stydlivy prvnacek recituje basnicku. Bral jsem to jako neuctu k odborne verejnosti, kdyz si dovoli poslat prezentovat takoveho cloveka. Nechci se onoho cloveka dotknout, takze jej nebudu jmenovat. Nepochybuji o jeho odbornych kvalitach, ale myslim si, ze jeho misto je v open space u pocitace a pripadne potemnela serverovna, ale rozhodne neni jeho misto recneni pred lidmi na konferenci.

Tesim se na dobu, kdyz cz domena bude sverena komercnimu subjektu, ktery bude jednat racionalne a nebude plytvat prostredky na zbytecne projekty.
24.10.2015 19:32 Karel
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
A viděl jste někdy prezentovat Ondřeje Filipa z CZ.NIC? Já z toho mám vždycky zážitek. Jestli vám CZ.NIC neleží v žaludku a nehledáte na nich vždycky jenom to špatné.

Pro národní bezpečnostní tým jsou zplnomocnění Ministerstvem vnitra. On se k tomu taky nikdo jiný jaksi nenabízí, aspoň jsem to nezaznamenal. Zájmové sdružení právnických osob si za své peníze vesměs může dělat, co bude chtít. Ani souhlas Odina k tomu nepotřebuje. Zejména, když jde o prospěšné projekty kladně přijímané veřejnosti, kromě veřejnosti Odina.

Ostatně Odin1918 se na tomto serveru taky moc dobře neprezentuje. Aspoň tak tom mám zafixované já.
25.10.2015 13:50 Odin1918 | skóre: 6 | blog: Valhalla
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
A viděl jste někdy prezentovat Ondřeje Filipa z CZ.NIC?
Nevidel a neznam ho.
Jestli vám CZ.NIC neleží v žaludku a nehledáte na nich vždycky jenom to špatné.
Nehledam na nich jenom to spatne. Vzdyt jsem psal, ze spravu domeny delaji perfektne. Bohuzel to spatne vsak je vyraznejsi nez to, co delaji dobre.
Pro národní bezpečnostní tým jsou zplnomocnění Ministerstvem vnitra.
Neziskovka zplnomocnena statnim uradem. Tim bych se moc nechlubil.
mirec avatar 25.10.2015 10:52 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
Nemam rad neefektivitu a plytvani a tyto a podobne projekty jsou toho jasnym pripadem.

Na slovensku máme registrátora komerčnú firmu. Tá neinvestuje peniaze ani do toho, čo má robiť. Radšej budem platiť občianskemu združeniu ktoré bude popri správe domény za zvyšné peniaze robiť aj niečo užitočné než nenažranej firme ktorá nie je schopná zabezpečiť ani základné veci.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
25.10.2015 13:19 Sid
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
V urcitych veciach nesuhlasim s odinom ale tiez si myslim, ze registrator domen sa ma venovat tejto cinnosti. A ak je to tak vynosne ze nevie co s peniazmi tak skor by som prijal model ze by tie peniaze sa prerozdelovali na projekty ako priamo ked to robi on. Dost tazko sa potom hlada a urcuje hranica co ano a co uz nie.
25.10.2015 13:58 Odin1918 | skóre: 6 | blog: Valhalla
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
Zase ale musim uznat, ze kavu vari cz nic dobrou. Az jim bude odebrana sprava cz domeny, mohou otevrit sit kavaren cz nic a z toho financovat sve zbytecne projekty (domaci routery, aplikace pro postizene, apod.).
25.10.2015 13:56 Odin1918 | skóre: 6 | blog: Valhalla
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
Vas postoj absolutne chapu, ale zkuste chapat muj. Vadi mi, ze cz domena byla sverena do rukou neziskovky, ktera plytva a chova se z meho pohledu iracionalne. Nemam problem s cenou domeny, ale s tim, ze se vybrane penize vynakladaji na zbytecne veci a zivi se zbytecne spousta lidi, kteri, bohuzel i podle mych osobnich zkusenosti, nejsou pred skupinou osob odprezentovat ani trivialni veci. :-( Pak vidim ty tv spoty ve statni televizi a rikam si, jestli je toto opravdu mozne.
mirec avatar 25.10.2015 14:23 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
Vadi mi, ze cz domena byla sverena do rukou neziskovky, ktera plytva a chova se z meho pohledu iracionalne.

Mne vadí keď sk doména bola zverená komerčnej firme, do ktorej sa lejú peniaze a výsledky nikde. Kto chce sk doménu nemá na výber. Firma má monopol, nikto ju nenúti nič zlepšovať ...

vybrane penize vynakladaji na zbytecne veci a zivi se zbytecne spousta lidi

Minimálne ja som zopár kníh vydaných cz-nicom využil. Zvyšok nevyužívam. Možno by to chcelo transparentnejšie riešiť na čo využiť peniaze. Cenu by som rozhodne neznižoval, zvýši to akurát počet špekulantov. Tie ceny sú nastavené dobre a kto chce doménu tak si ju bez problémov za pár drobných zaplatí. Kto by chcel registrovať milióny náhhodných domén toho to bude stáť veľa.

nejsou pred skupinou osob odprezentovat ani trivialni veci

Ja zase neznášam ľudí ktorí vedia vystupovať, ale prd vedia o tom o čom kecajú. Včera som napríklad narazil na odkaz, ktorý vysvetľuje ako funguje nabíjanie ultrazvukom a tam tento obrázok vysvetľujúci prečo je ultrazvuk bezpečný. Za 5 rokov tá banda idiotov okolo uBeamu nie je schopná ukázať produkt, ktorý by fungoval, len blbé ultrazvukové snímače, ktoré zapojím za pol hodiny a voltmeter (u nich nazývaný powermeter). S tým dokázali zohnať niekoľko miliónov investícií len vďaka tomu, že vedia vystupovať.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
kyknos avatar 25.10.2015 15:51 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
lidi co umeji recnit na konferenci byvaji jen vzacne ti sami, co rozumi dane problematice - jasne ze i takovi lide existuji - a nepochybne tu nekdo zacne sermovat takovymi jmeny - ale tenhle vzacny soubeh schopnosti je casto prave ten duvod, ze jsou tak znami, a rozhodne nemohou takovi byt vsude - a na tech zbylych prednaskach si ja osobne mnohem radeji poslechnu koktajiciho vedce ci hackera, nez sebevedomeho manazera ci jineho saska, ktery umi opakovat jen naucene fraze (a kdyby bylo skolstvi v poradku, nemel by MBA, ale vyucni list bez maturity :)
So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...
28.10.2015 18:15 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
No, příště se raději nepouštějte do diletantských pokusů o hodnocení efektivnosti veřejných služeb. Děkuji za pochopení.
Archlinux for your comps, faster running guaranted!
28.10.2015 19:17 Odin1918 | skóre: 6 | blog: Valhalla
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
Priste prosim zkuste argumentovat. Co z toho, co jsem napsal, neni pravda?
25.10.2015 09:55 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
1.) Na registraciu v systeme SK-NIC uz nie je nutna uradne overena ziadost.
2.) Pri zmene drzitela domeny je nutny uradne overeny podpis len sucasneho drzitela.
3.) Ziadost o zmenu drzitela nemusite podpisat obaja tu istu, kazdy si moze vygenerovat vlastnu a do SK-NICu poslat samostatne len so svojim podpisom.
4.) Doby cakania nie su ziadne, SK-NIC vybavuje ziadosti v ten ked, ked im su dorucene - kludne to mozes poslat prvou triedou alebo odniest osobne.
5.) SK-NIC akceptuje ziadosti, ktore su podpisane elektronickym podpisom (bud cez PSCA alebo zarucenym).

A to najdolezitejsie - preco, PREBOHA, mas domenu zaregistrovanu na meno niekoho ineho? Preco si si to vobec takto povodne registroval? Auto mas tiez napisane na suseda?
mirec avatar 25.10.2015 10:49 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal

Doménu registroval pôvodný vlastník portálu, medzitým prešiel portál pár ľuďmi a aktuálne ho mám ja. Medzitým je pôvodný vlastník tak trochu nezvestný. Doménu platím momentálne ja, server spravujem ja, výdavky spojené s portálom platím ja, ale doména je na niekoho s kým nie som v kontakte.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
mirec avatar 25.10.2015 10:59 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
Podľa toho vyzerá, že je možné elektronicky podať aj žiadosť o zmenu vlastníka. Keď som to chcel riešiť tak sa to nedalo a pôvodný vlastník nemal čas behať kvôli tomu po úradoch. Ešte ho nejako vypátrať a skúsiť to zmeniť.
LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
24.10.2015 13:39 Strakac
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
Tywe, ty si hroznej bolsevik.
24.10.2015 14:40 Odin1918 | skóre: 6 | blog: Valhalla
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v CMS Joomla! a Drupal
Bolsevik? Z ceho tak usuzujes? Btw imho je lepsi byt bolsevik nez idiot. ;-)

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.