Trang chủ Tản mạn Cảnh báo lỗ hổng bảo mật của DotNetNuke

Cảnh báo lỗ hổng bảo mật của DotNetNuke

Mới đây trong một bức thư gửi đến khách hàng của mình DotNetNuke (DNN) đã cảnh báo về một lỗ hổng bảo mật nguy hiểm của DNN liên quan đến tập tin cài đặt.

dotnetnuke

Theo như mô tả của DNN thì lỗi bảo mật này đã được cảnh báo từ tháng 4/2015 và nó đã được vá ở các bản cập nhật sau này. Tuy nhiên mới đây một cơ chế khai thác mới có thể khai thác lại lỗ hổng bảo mật này đã được các chuyên gia phát hiện. Lỗ hổng này là khá nghiêm trọng. Nó cho phép người dùng bên ngoài để:

  • Khởi tạo 1 host khác.
  • Cập nhật các bản ghi và bảng của host.
  • Xóa cài đặt SMTP.
  • Nâng cấp hoặc thay đổi các mô-đun đã cài đặt.

DNN cũng đưa ra cho người dùng cách thức để kiểm tra và thực hiện các thao tác cần thiết để bảo vệ hệ thống:

  1. Xóa bỏ các tập tin Install.aspx, Install.aspx.cs, InstallWizard.aspx, InstallWizard.aspx.cs, UpgradeWizard.aspxUpgradeWizard.aspx.cs từ thư mục cài đặt (/install) ngay lập tức.
  2. Tìm đến Host > Host Settings > Other Settings > Allowable File Extensions để kiểm tra và đảm bảo rằng các tập tin có phần mở rộng .aspx là không được phép có thể tải lên.
  3. Tìm đến Host > SuperUser Accounts để kiểm tra các tài khoản có quyền tối cao (Super User) có tài khoản nào nghi ngờ và thực hiện xóa tài khoản đó.
  4. Kiểm tra thư mục gốc của trang web xem có chứa tập tin có phần mở rộng là .php hoặc .aspx nào nghi ngờ chứa mã độc để xóa. Chú ý kiểm tra kể để tránh trường hợp xóa nhầm tập tin của hệ thống.

DNN cũng đã cho phát hành các phiên bản mới Evoq 8.4.2DNN Platform 8.0.3. Những phiên bản này đã được vá lỗi nên người dùng có thể tải về để cập nhật cho hệ thống của mình.

Huỳnh Mai Anh Kiệt

- Advertisement -
Huỳnh Mai Anh Kiệthttps://anhkiet.biz
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên cho Hura Apps - một startup nhỏ về công nghệ tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

BÀI VIẾT MỚI

Hướng Dẫn Đăng Ký Nhận Mã Giảm Giá Highland Coffee

Highland Coffee đang có nhiều chương trình khuyến mã cho khách hàng của mình. Các khuyến mãi có thể bao gồm upsize, mua 1...

Quà cuối năm 2022 từ Shopify

Năm nay nhận quà từ các đối tác công nghệ hơi bị nhiều. Mới đây mình lại nhận được quà từ Shopify. Quà về đúng...

Nhận quà từ đối tác công nghệ Recharge

Recharge là một trong những công ty chuyên cung cấp giải pháp bán hàng đăng ký định kỳ (subscription payments) cho các nền tảng...

Hướng dẫn tải video ngắn Facebook Reel miễn phí

Facebook Reels là tính năng video ngắn mới của Facebook. Nếu bạn muốn tải những video ngắn này của mọi người thì bạn có...

Lập Trình Viên 25 Tuổi Kiếm Được $30.000 Mỗi Tháng Từ Các Ứng Dụng Shopify

Mat De Sousa là một doanh nhân Pháp, anh là người đứng sau 2 ứng dụng Shopify là Wide Bundles và WideReview do chính...

BẠN XEM CHƯA

Leo Chat – Mã nguồn web chat bằng PHP và AJAX

Leo Chat là mã nguồn ứng dụng chat trên nền web. Leo Chat được xây dựng bằng ngôn ngữ PHP sử dụng kỹ thuật...

Facebook cho phép người dùng chuyển bài viết sang nền tảng khác

Hôm nay, Facebook đã thông báo một tính năng mới cho phép người dùng chuyển các bài đăng và ghi chú trên Facebook của...

Bộ nguồn cho máy tính để bàn thùng nhỏ

Nếu bạn đang dùng máy tính để bàn (desktop) là dạng máy tính có thùng (case) nhỏ gọn nhãn hiệu HP, Dell, Lenovo, FPT...

Xmarks Sync: Đồng bộ dữ liệu trên Firefox

Xmarks Sync là một add-ons dành riêng cho trình duyệt Firefox, giúp đồng bộ Bookmark, History, Password và nhiều thành phần khác thật dễ...

Các dịch vụ lưu trữ trực tuyến hỗ trợ đồng bộ hoá dữ liệu

Bạn là người hay di chuyển và sử dụng nhiều thiết bị để làm việc thì nhu cầu đồng bộ hoá dữ liệu là...