使用現成套件,皮要繃緊一點才行…

By | 2008年 九月 11日

自從大樹的某個免費分站被駭客攻陷,大樹就知道joomla套件,應該是出了什麼「大茶堡」了…因為忙,也還沒認真的去看相關的資訊。果不其然,今日發現大樹架過的另一個公司用網站,使用同樣的套件,也被偷偷的置換掉了首頁。很明顯的,joomla本身出了問題。看了一下joomla相關網站,確定在舊的版本中存在這些安全性問題,而忙碌的大樹,並沒有適時的更新版次,導致駭客有了可乘之機,這是大樹該警惕的部份。

根據 joomla 的訊息,在1.5.5版本之前,發現了一個重大的安全漏洞,原因來自密碼的回復程式,呼籲所有1.5版本的user要趕快升級到1.5.6版本。這是在八月十三日發佈的訊息。

在繁體中文支援社群中,提供了下載 joomla 1.5.6相關套件的連結,順著該連結,大樹被導到joomla的官網,不過麻煩的是,它還要求我註冊…真是$@!$!#$。不過註冊就註冊,怪異的是收到了註冊後的啟用信件,順著啟用信件指示按下超連結啟用,要再行登入時,卻出現:

哇咧…官網發來的信,卻告訴我是無效的確認信,試了 N 次都一樣…啊是怎樣? 只能說最近的joomla,真是怪啊!

套件雖然強大,但由於它的程式碼是公開且透明的,事實上很容易讓高階的駭客順著程式碼找到漏洞,這是大樹最擔心的部份。但是自已寫的程式碼比較安全嗎? 那倒也未必,也許安全、也許更脆弱… 只是因為 code 隱藏住,駭客要攻入還需要用多一點方法才行… 所以常用套件的人,最好固定看一下官網的訊息,遇到安全性漏洞要趕緊修補,不然…像大樹這樣,就有得累了…

發表迴響