Trang chủ Tản mạn Cảnh báo lỗ hổng bảo mật của DotNetNuke

Cảnh báo lỗ hổng bảo mật của DotNetNuke

Mới đây trong một bức thư gửi đến khách hàng của mình DotNetNuke (DNN) đã cảnh báo về một lỗ hổng bảo mật nguy hiểm của DNN liên quan đến tập tin cài đặt.

dotnetnuke

Theo như mô tả của DNN thì lỗi bảo mật này đã được cảnh báo từ tháng 4/2015 và nó đã được vá ở các bản cập nhật sau này. Tuy nhiên mới đây một cơ chế khai thác mới có thể khai thác lại lỗ hổng bảo mật này đã được các chuyên gia phát hiện. Lỗ hổng này là khá nghiêm trọng. Nó cho phép người dùng bên ngoài để:

  • Khởi tạo 1 host khác.
  • Cập nhật các bản ghi và bảng của host.
  • Xóa cài đặt SMTP.
  • Nâng cấp hoặc thay đổi các mô-đun đã cài đặt.

DNN cũng đưa ra cho người dùng cách thức để kiểm tra và thực hiện các thao tác cần thiết để bảo vệ hệ thống:

  1. Xóa bỏ các tập tin Install.aspx, Install.aspx.cs, InstallWizard.aspx, InstallWizard.aspx.cs, UpgradeWizard.aspxUpgradeWizard.aspx.cs từ thư mục cài đặt (/install) ngay lập tức.
  2. Tìm đến Host > Host Settings > Other Settings > Allowable File Extensions để kiểm tra và đảm bảo rằng các tập tin có phần mở rộng .aspx là không được phép có thể tải lên.
  3. Tìm đến Host > SuperUser Accounts để kiểm tra các tài khoản có quyền tối cao (Super User) có tài khoản nào nghi ngờ và thực hiện xóa tài khoản đó.
  4. Kiểm tra thư mục gốc của trang web xem có chứa tập tin có phần mở rộng là .php hoặc .aspx nào nghi ngờ chứa mã độc để xóa. Chú ý kiểm tra kể để tránh trường hợp xóa nhầm tập tin của hệ thống.

DNN cũng đã cho phát hành các phiên bản mới Evoq 8.4.2DNN Platform 8.0.3. Những phiên bản này đã được vá lỗi nên người dùng có thể tải về để cập nhật cho hệ thống của mình.

Huỳnh Mai Anh Kiệt

- Advertisement -
Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

BÀI VIẾT MỚI

Hướng dẫn tạo bộ đếm lùi thời gian bằng JavaScript

Mới đó mà đã gần nửa năm 2021 trôi qua. Tình hình dịch bệnh COVID-19 cũng chẳng mấy khả quan. Nhưng vẫn cứ hy...

Hướng dẫn tạo hiệu ứng mưa rơi trên trang web với JavaScript

Quy Nhơn chớm bước vào mùa hè với nắng nóng. Những lúc thế này tự nhiên lại thèm những cơn mưa để giải tỏa...

Instagram ra mắt tính năng tạo chú thích tự động cho Stories và Reels

Tiếp bước TikTok, Instagram hiện cũng đã ra mắt tính năng tạo chú thích (caption) tự động của riêng mình. Tính năng mới này đã...

Facebook đã chính thức cập nhật tính năng “bong bóng chat” trên iPhone

Mới đây, Facebook đã chính thức cập nhật tính năng Chat Heads (hay còn gọi là bong bóng chat) trên iPhone, cho phép người...

Facebook Workplace đạt mốc 7 triệu người dùng trả phí

Vào thứ Ba vừa rồi, Facebook vừa mới thông báo ứng dụng Facebook Workplace của họ tính cho tới thời điểm hiện tại đã...

BẠN XEM CHƯA

Công cụ chống phân mảnh ổ đĩa miễn phí FixBee

Sau một thời gian sử dụng máy tính thì ổ cứng của bạn có thể bị phân mảnh và cần thao tác dồn đĩa...

Chặn cập nhật Windows ngay từ modem

Một trong những cách giúp bạn ngăn chặn việc Windows tự động cập nhật là chặn kết nối đến các máy chủ của Microsoft....

Oracle phát hành bản vá khẩn cấp cho Java trên Windows

Oracle vừa phát hành một bản vá lỗi bảo mật nguy hiểm cho Java trên các thiết bị Windows. Bản vá lỗi này có...

Click Newspaper – Giao diện phong cách báo giấy cho WordPress

Click Newspaper là một giao diện (theme) cho WordPress. Click Newspaper mang đến cho WordPress một giao diện mang phong cách của một trang...

Hướng dẫn tạo một trang web proxy đơn giản

Lâu quá không có một bài "múa rìu" về lập trình. Nay xin viết một bài hướng dẫn nhỏ để giúp bạn tạo ra...