Joomla! 1.5.6 – A Ty już zaktualizowałeś?
CMS Joomla!
Dwa dni temu próbowałem zalogować się na /Administrator (stojącego na CMS Joomla!) serwisu mojego klienta. Próbuję – i nie chce mnie wpuścić. Próbuję ponownie, i jeszcze raz, starannie wpisując login i hasło. Nic z tego? Ki diabeł? – pomyślałem. Ktoś zmienił mi hasło? Dlaczego? Klient jest z tych bardzo zaufanych, współpraca układa się doskonale więc nie widziałem powodu, by bez żadnego powiadomienia zmieniać mi hasło i blokować dostępu. Zresztą, jestem w posiadaniu wszystkich haseł na jego serwerze, więc to nie miało by większego sensu… Szybciutko zalogowałem się na PhpMyAdmin i zmieniłem sobie hasło na takie samo, jak miałem poprzednio.
CMS Joomla! przechowuje hasła w bazie danych zakodowane CramMD5, oznacza to, że nie da się tak zakodowanego hasła „odkodować”. Ale nic nie szkodzi otworzyć PhpMyAdmin, odszukać tabelę „jos_users”, wybrać opcję Przeglądaj i tam wkleić sobie w odpowiednie miejsce hasło zakodowanego wcześniej. Rzecz jasna, jeśli masz backup tego hasła zrobionego wcześniej, lub gdzie indziej (hasła zakodowane CRAM są takie same dla tego samego słowa). Dla przykładu:
- admin = 21232f297a57a5a743894a0e4a801fc3
- secret = 5ebe2294ecd0e0f08eab7690d2a6ee69
Ja mam przygotowany pliczek z kilkoma hasłami jakich używam najczęściej i po prostu sobie wkleiłem odpowiedni. Sprawdziłem, czy wszystko działa (działało) i dopiero wtedy zapytałem Klienta, czy zmieniał mi hasło. Odpowiedź była taka, jak się spodziewałem. No skąd – powiedział mi Klient. – I po co?
A dopiero teraz zobaczyłem newsa na Joomla.pl datowanego na 13.08.2008:
Joomla! 1.5.6 – uaktualnij pilnie
Opublikowano wydanie krytyczne Joomla 1.5.6 [Vusani]. Zalecana jest pilna aktualizacja poprzednich wydań do najnowszej wersji albo przesłanie na serwer łatki aktualizującej plik /components/com_user/models/reset.php file). Naprawiany tą łatką błąd należy do niebezpiecznych. Nieupoważniony agresor – korzystając z luki w skrypcie – może zresetować hasło pierwszego użytkownika w tabeli użytkowników bazy danych. Owym pierwszym użytkownikiem jest zwykle główny administrator.
Jak to dobrze, że backup na serwerze robi się codziennie, a ja sobie zgrywam bazę co najmniej raz w tygodniu… Głupia sprawa – gdy ostatnio zajrzałem na polskie centrum Joomla! zobaczyłem, że jest nowa wersja i od razu przygotowałem sobie pliki do nocnej aktualizacji – i tak zrobiłem. Ale to już było po fakcie… Muszę sobie jakieś newsy stamtąd na RSS, lub lepiej na e-mail subskrybować, by uniknąć w przyszłości podobnej wpadki. Albo gorszej – umówmy się, ta kosztowała mnie tylko pięć minut pracy.
Ja korzystam z Joomla! ponieważ pozwala na bardzo elastyczne rozwiązania – od maleńkiej strony, do średniego wortaliku. Gdy już pozna się zasadę działania panela Administracyjnego, skórek itp to formatowanie serwisu jest w miarę łatwe i przyjemne. No i świetnie nadaje się do wdrożeń w małych firmach – całkowicie (no, prawie) „klikalny” panel ma szansę u Pani w biurze czy sekretariacie… Marcin, a powiedz – jeśli zrezygnowałeś z Joomla!, to na co się przestawiłeś?
Jakie to szczęście, że czytam Twojego bloga. Klient mnie już oskarżał o całodniowe pady serwera i awarię bazy danych. Przypomniałem sobie jednak o tym artykule i problem rozwiązaliśmy (stare hasło z backupu). Dzięki.
O, to jest fajny komentarz. Jakoś przyjemniej się robi, gdy człowiek usłyszy od drugiego, że nawet drobiazg, a pomógł, prawda? I ja dziękuję za uwagę.
:-)
Jakiś czas temu zrezygnowałem z Joomli, mimo że początkowo byłem zachwycony. Nie mam zaufania do niej – dużo dziur, a mimo ciągłego rozwoju (w dobrym kierunku) nie widać poprawy. Ciężko będzie o odbudowanie zaufania.