Na ogół wiele osób (nie tylko malkontentów, ale i często specjalistów) narzeka na poziom bezpieczeństwa rozszerzeń popularnych CMS-ów, ostatnio dostaje się Joomla!. Z kolei z wielu zestawień i raportów ekosystem rozszerzeń Drupal-a uchodzi za system bezpieczny. Tymczasem kilka dni temu badacz Justin Klein Keane odkrył poważną lukę bezpieczeństwa w popularnym module Context, użytym między innymi w sławnym już wdrożeniu CMS-a w Białym Domu. Jak można przeczytać w informacjach o podatności, hacker (ten zły) poprzez atak typu XSS może wstrzykiwać dowolny skrypt, co potencjalnie pozwala nawet przejąć uprawnienia głównego administratora systemu.
Niestety zagrożona jest również najnowsza produkcyjna wersja Drupal (6.16) wraz z modułem Context (6.x-2.0-rc3). Przejrzyj i zapoznaj się z pełną listą działań w celu zabezpieczenia CMS przed w/w atakiem. Źródło informacji: TheRegister.co.uk
Gdzież to tak ostatnio dostaje się Joomla w kwestii bezpieczeństwa, jeśli można wiedzieć?
nie umniejszając wagi luki wypadałoby wspomnieć, że mogą ją wykorzystać jedynie administratorzy serwisu (a mówiąc precyzyjnie osoby z uprawnieniem „zarządzaj blokami” które jest nadawane zazwyczaj jedynie administracji (pozwala np. stworzyć blok z PHP w środku, albo zmieniać rozmieszczenie/widoczność bloków na stronie). Dla rozróżnienia – Drupalowy Blok to Joomla!’owy moduł czyli taki kwadracik gdzieś wokoło głównej treści.