Phát hành NukeViet 20.07.2024

Thông báo về lỗi bảo mật NukeViet 4.x

Thứ ba - 26/05/2020 12:01
Ban quản trị NukeViet thông báo: Hiện tại các phiên bản NukeViet 4.x đang có lỗi bảo mật, lợi dụng lỗi này kẻ xấu có thể lừa quản trị của site đang đăng nhập admin để thực hiện các thao tác không mong muốn. Bài viết này hướng dẫn quản trị site các biện pháp bảo vệ tạm thời trước khi có bản cập nhật chính thức.
Thông qua bài viết trên website exploit-db, whitehat Ban quản trị NukeViet xác nhận lỗi và đã có phương án fix lỗi. Dự kiến bản fix lỗi sẽ được phát hành trong ngày 27/05/2020. Để website được an toàn trước khi có bản fix lỗi, các quản trị site nên thực hiện một số biện pháp sau:

1. Tất cả các quản trị site, đặc biệt là điều hành chung và quản trị tối cao sau khi đăng nhập admin để làm việc xong nên thoát khỏi tài khoản admin. Trong thời gian đang đăng nhập admin không nên truy cập các trang web khác  đặc biệt là các trang blog cá nhân, các diễn đàn. 
2. Không nên truy cập các trang web lạ, nhấp vào các nút ấn, các liên kết đáng ngờ.
3. Đổi tên thư mục admin mặc định (xem hướng dẫn ở https://wiki.nukeviet.vn/nukeviet4:setup:security#d%E1%BB%95i_ten_thu_m%E1%BB%A5c_admin)
4. Phân quyền các quản trị (quản lý module) một cách hợp lý, thông báo với các quản lý module, điều hành chung về các biện biện pháp tại mục 1, 2
5. Nếu có thể, nên áp dụng thêm các biện pháp bảo mật tại https://wiki.nukeviet.vn/nukeviet4:setup:security

Cập nhật 16h ngày 27/05/2020:

Theo đánh giá kỹ của BQT, với lỗi này, khả năng bị tấn công là rất thấp đối với các site đang ở bản 4.3.06 về sau. Các site đang ở phiên bản 4.3.05 về trước mới có thể bị ảnh hưởng. Nếu site của bạn chưa được nâng cấp, hãy nâng cấp tối thiểu lên 4.3.06 (https://nukeviet.vn/vi/news/Tin-tuc/thong-bao-phat-hanh-nukeviet-4-3-06-597.html) hoặc bản mới nhất có thể (https://nukeviet.vn/vi/news/Tin-tuc/thong-bao-phat-hanh-nukeviet-4-4-00-621.html)
Xem thêm đánh giá ở: https://writeblabla.com/blog/danh-gia-ve-loi-bao-mat-csrf-cua-nukeviet-va-nhung-dieu-quan-tri-site-nen-lam.html
Do đó BQT sẽ hoãn thời gian phát hành bản FIX để kiểm tra kỹ hơn và có các chỉnh sửa tối ưu nhất.
Thời gian phát hành bản Fix sẽ được thông báo sau

Cập nhật sáng ngày 27/05/2020:

Hệ thống CORS mặc định của NukeViet, có thể chặn đa số các thao tác lợi dụng này, do đó quản trị không nên quá lo lắng về lỗi. Đồng thời triển khai thực hiện thêm các bước sau:

6. Yêu cầu tất cả các quản trị sử dụng các trình duyệt hiện đại như Chrome 83+, Firefox 76+, Edge sử dụng nhân Chromium
7. Kiểm tra và kích hoạt "Giới hạn tên miền" tại khu vực Quản trị > Cấu hình > Thiết lập an ninh > Thiết lập CORS nếu chưa kích hoạt

Hiện tại kiểm tra thấy, việc tác động từ bên ngoài site vào khả năng gây nguy hiểm là rất thấp do đó quản trị nên rà soát lại và thực hiện thao tác số 4 trong hướng dẫn này.

Các quản trị site tiếp tục theo dõi trên nukeviet.vn để cập nhật các thông báo tiếp theo.
 

Tổng số điểm của bài viết là: 26 trong 6 đánh giá

Xếp hạng: 4.3 - 6 phiếu bầu
Click để đánh giá bài viết
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây