Trang chủ Tản mạn Cảnh báo lỗ hổng bảo mật của DotNetNuke

Cảnh báo lỗ hổng bảo mật của DotNetNuke

Mới đây trong một bức thư gửi đến khách hàng của mình DotNetNuke (DNN) đã cảnh báo về một lỗ hổng bảo mật nguy hiểm của DNN liên quan đến tập tin cài đặt.

dotnetnuke

Theo như mô tả của DNN thì lỗi bảo mật này đã được cảnh báo từ tháng 4/2015 và nó đã được vá ở các bản cập nhật sau này. Tuy nhiên mới đây một cơ chế khai thác mới có thể khai thác lại lỗ hổng bảo mật này đã được các chuyên gia phát hiện. Lỗ hổng này là khá nghiêm trọng. Nó cho phép người dùng bên ngoài để:

  • Khởi tạo 1 host khác.
  • Cập nhật các bản ghi và bảng của host.
  • Xóa cài đặt SMTP.
  • Nâng cấp hoặc thay đổi các mô-đun đã cài đặt.

DNN cũng đưa ra cho người dùng cách thức để kiểm tra và thực hiện các thao tác cần thiết để bảo vệ hệ thống:

  1. Xóa bỏ các tập tin Install.aspx, Install.aspx.cs, InstallWizard.aspx, InstallWizard.aspx.cs, UpgradeWizard.aspxUpgradeWizard.aspx.cs từ thư mục cài đặt (/install) ngay lập tức.
  2. Tìm đến Host > Host Settings > Other Settings > Allowable File Extensions để kiểm tra và đảm bảo rằng các tập tin có phần mở rộng .aspx là không được phép có thể tải lên.
  3. Tìm đến Host > SuperUser Accounts để kiểm tra các tài khoản có quyền tối cao (Super User) có tài khoản nào nghi ngờ và thực hiện xóa tài khoản đó.
  4. Kiểm tra thư mục gốc của trang web xem có chứa tập tin có phần mở rộng là .php hoặc .aspx nào nghi ngờ chứa mã độc để xóa. Chú ý kiểm tra kể để tránh trường hợp xóa nhầm tập tin của hệ thống.

DNN cũng đã cho phát hành các phiên bản mới Evoq 8.4.2DNN Platform 8.0.3. Những phiên bản này đã được vá lỗi nên người dùng có thể tải về để cập nhật cho hệ thống của mình.

Huỳnh Mai Anh Kiệt

Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

- Advertisment -
Shopify

BÀI VIẾT MỚI

Nền tảng trực tuyến cho phép bạn thiết lập trang web chỉ trong vài phút

Bất kỳ doanh nghiệp nào hiện nay cũng đều cần một trang web. Tuy nhiên, không phải ai cũng có đủ chuyên môn kỹ...

Chuyên gia bảo mật người Việt phát hiện lỗ hổng bảo mật trên hệ điều hành Windows

Vừa qua, anh Lê Hữu Quang Linh (linhlhq) - chuyên gia bảo mật của Trung tâm Giám sát an toàn không gian mạng quốc...

Hẹn hò theo “phong cách nhà giàu” với Tesla Dating

Mới đây, tờ Business Insider vừa tiết lộ rằng một ứng dụng hẹn hò mang tên Tesla Dating sắp được ra mắt bởi Ajitpal...

Internet Explorer chính thức bị khai tử sau 25 năm

Trong bài đăng trên trang blog chính thức vào hôm thứ hai (17/8), Microsoft công bố họ sẽ không còn tiếp tục hỗ trợ...

PayPal lần đầu tiên bổ nhiệm giám đốc điều hành ở Trung Quốc

PayPal liên tiếp có những động thái cho thấy nền tảng thanh toán trực tuyến hàng đầu thế giới này sẽ tiếp cận thị...

BẠN XEM CHƯA

R-Crypto công cụ tạo ổ đĩa ảo được mã hóa

R-Crypto là công cụ giúp bạn dễ dàng tạo ra một ổ đĩa, thư mục được mã hóa mạnh mẽ giúp bạn có thể...

Đăng xuất Facebook từ xa

Nếu bạn đã đăng nhập vào tài khoản Facebook của mình trên một điện thoại khác, hoặc máy tính khác thì rất có thể...

Chơi game tích hợp trong Google Chrome khi bị mất kết nối interet

Nếu bạn thường dùng trình duyệt web Google Chrome để lướt web thì khi không kết nối được internet Chrome sẽ hiện thông báo...

Action Photoshop: Chỉnh màu ngoại cảnh

Mới mua máy tập tò chụp choẹt lung tung nên kinh nghiệm cũng không rành nhất là chuyện xử lý hậu kỳ cho bức...

Tạo responsive cho trình Youtube chèn vào trang web

Khi bạn chèn video trên Youtube vào trang web của mình bạn sẽ nhận được 1 đoạn mã chèn iframe vào trang web hoặc...