Mambo sites gedefaced via nieuwe exploit voor oud lek
Eind vorig jaar werden verschillende mambosites, en zelfs Mambo's eigen site, via een 0day exploit gehackt en defaced. De exploit maakte gebruik van een ernstig lek in het web portal / content management systeem, waardoor een remote aanvaller bepaalde informatie kon manipuleren of een kwetsbaar systeem kon overnemen.
Er doet inmiddels een variant van de Mambo/XML-RPC exploit de ronde, waardoor een aantal websites al gedefaced zou zijn. Mambo gebruikers die de patch nog niet geinstalleerd hebben wordt aangeraden dit alsnog te doen. (ISC)
Joomla hier ook last van?
bekend gemaakt en toen was ook de mambo website gedefaced,
zoals [url=http://www.security.nl/article/12305/]hier[/url] al eerder op security.nl is gemeld. De fix was na enkele dagen beschikbaar.
Erg slecht als je na zo'n lange tijd dit nog niet gepatched hebt.
lek op zich, maar de (willens en wetens of niet) laksheid
waarmee sommige syteembeheerders ermee omgaan. Walter heeft
volkomen gelijk, het is, op zijn zachtst gezegd, niet erg
slim van een systeembeheerder om een lek wat al zo lang
bekend is ongepatched te laten. Dat is wat mij betreft erom
vragen.
Even snel door de changelog gekeken.. Daar zag ik zo 123 niets staat mbt dit lek.
indien Mambo NIET in PHP safe-mode draait..? (wat wel heel
erg verstandig is!)
En voor het ondervangen van de evt. nadelen die het in
safe-mode draaien van Mambo / Joomla geeft, is er een patch
beschikbaar.
http://pranab.altiuscorp.com/
machtsovername bij Mambo is het met de ontwikkeling diep
treurig achteruit gegaan. Invloed op ontwikkeling is alleen
nog mogelijk als je duizenden euros betaald. Ontwikkelaars
met oog voor beveiliging zijn daarom al tijdig overgestapt
naar de nieuwe tak, Joomla. Echt opensource en wordt goed
ontwikkeld.
het oude lek.. (12-2005), waar weer een nieuw scripje van gebruik maakt.. poeh poeh..
De mambo sites die nog niet gepatched zijn, zijn sites waar toch al zeker weinig beweging in zat.... en anders hadden ze al Joomla geïnstalleerd en
geweten dat ze moesten updaten. :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.