The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.10.2015 22:45  Критическая уязвимость в системе управления контентом Joomla

Представлен внеплановый корректирующий выпуск системы управления контентом Joomla 3.4.5, в котором устранена критическая уязвимость, позволяющая осуществить подстановку SQL-запроса, путем отправки специально оформленного запроса. Уязвимость может быть эксплуатирована неаутентифицированным атакующим. Проблема проявляется во всех выпусках, начиная с Joomla 3.2. Пользователям рекомендуется срочно обновить свои системы.

Дополнение: опубликован эксплоит, позволяющий получить полный доступ к интерфейсу администратора сайтов на базе Joomla.



  1. Главная ссылка к новости (https://www.joomla.org/announc...)
  2. OpenNews: В Joomla 3.3.5, 3.2.6 и 2.5.26 устранены уязвимости
  3. OpenNews: Проект Joomla представил собственный фреймворк для разработки приложений на языке PHP
  4. OpenNews: Новая версия системы управления контентом Joomla 3.2
  5. OpenNews: Новая версия системы управления контентом Joomla 3.1
  6. OpenNews: Релиз системы управления контентом Joomla 3.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cms, joomla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.3, Аноним (-), 23:29, 22/10/2015 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Конешно, он же написан на PHP, а этот язык совершенно не умеет пользоваться мозгами программистов.
     
     
  • 2.8, Аноним (-), 02:31, 23/10/2015 [^] [ответить]     [к модератору]
  • –3 +/
    Язык прекрасный, гораздо лучше подходит для написания веб приложений чем всякие ... весь текст скрыт [показать]
     
     
  • 3.9, angra (ok), 06:42, 23/10/2015 [^] [ответить]    [к модератору]  
  • +/
    Я не особо слежу за его развитием, но кажется этот лучший язык для веб приложений до сих пор не умеет нормальный fastcgi, только обертку над обычным cgi исполнением.
     
     
  • 4.10, Аноним (-), 07:06, 23/10/2015 [^] [ответить]    [к модератору]  
  • +/
    php-fpm встроен начиная с версии 5.3.
     
     
  • 5.12, Аноним (-), 08:32, 23/10/2015 [^] [ответить]    [к модератору]  
  • +/
    Тебе же сказали, что PHP-FPM это обёртка над CGI
     
  • 2.17, Michael Shigorin (ok), 11:33, 23/10/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    > Конешно, он же написан на PHP

    Почему-то в Drupal и TYPO3 такого беспредела, как у этих детсадовцев, не наблюдается (хотя дырки тоже бывают, увы и ах).

    Люди, которые думают, что инструмент заменяет эти самые мозги -- ну, понимаете, да? -- при этом из инструментов и впрямь стоит выбирать дающие более качественный результат, если уж делать.

     
     
  • 3.19, Аноним (-), 13:26, 23/10/2015 [^] [ответить]     [к модератору]  
  • +/
    Тут важна совсем другая штука, а именно чтобы предотвратить появление комментов... весь текст скрыт [показать]
     
  • 3.22, Typhoon (ok), 23:01, 23/10/2015 [^] [ответить]    [к модератору]  
  • +/
    TYPO3 нужно долго изучать
     
  • 1.5, th3m3 (ok), 00:15, 23/10/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    Лол. Этим ещё кто-то пользуется?
     
     
  • 2.11, Александр (??), 08:10, 23/10/2015 [^] [ответить]    [к модератору]  
  • +/
    Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
     
     
  • 3.13, Аноним (-), 09:15, 23/10/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Golang, Erlang, Rust, Python, C++14, Java.
     
     
  • 4.14, Аноним (-), 09:31, 23/10/2015 [^] [ответить]    [к модератору]  
  • +/
    ну в java-то уявимостей нет, а обновления они от скуки делают
     
  • 4.15, Аноним (-), 10:34, 23/10/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    > Golang, Erlang, Rust, Python, C++14, Java.

    Хм. Что-то раньше не слыхал о таких CMS.

     
     
  • 5.16, YetAnotherOnanym (ok), 11:01, 23/10/2015 [^] [ответить]    [к модератору]  
  • +/
    Не залезая в гугол: на бидоне - плон, джанго, на эрланге - зотоник, закись, чикагобосс.
    Ваша реплика очень характерна для представителя массы php-кодеров - она показывает степень Вашей профессиональной эрудиции и отсутствие желания её хоть как-то развивать. Вы даже не потрудились посмотреть в вики - https://en.wikipedia.org/wiki/List_of_content_management_systems
     
  • 3.18, Michael Shigorin (ok), 11:34, 23/10/2015 [^] [ответить]    [к модератору]  
  • +/
    > Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?

    Например, теми же Drupal/TYPO3.  А php отчасти купируется mod_security, только настраивать его бермуторно...

     
     
  • 4.23, Typhoon (ok), 23:05, 23/10/2015 [^] [ответить]    [к модератору]  
  • +/
    >> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
    > Например, теми же Drupal/TYPO3.  А php отчасти купируется mod_security, только настраивать
    > его бермуторно...

    А почему не жанга?

     
  • 4.24, Typhoon (ok), 23:07, 23/10/2015 [^] [ответить]    [к модератору]  
  • +/
    >> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
    > Например, теми же Drupal/TYPO3.  А php отчасти купируется mod_security, только настраивать
    > его бермуторно...

    Да и вообще нужно переходить на статические сайты

     
  • 1.6, manster (ok), 01:15, 23/10/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    т.е. как обычно - возможность SQL-инъекции ...
     
     
  • 2.20, Дворник (??), 16:45, 23/10/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    > т.е. как обычно - возможность SQL-инъекции ...

    И, как обычно, весь SQL исполняется на SQL-сервере с максимальными (если не админскими) правами.
    Почему бы не ограничить соединение с SQL-сервером правами, необходимыми и достаточными для авторизированного на web-морде конкретного пользователя? Зачем, например, гостю иметь доступ к таблице с пользователями и их паролями (пусть даже и хешами с солью)?

     
     
  • 3.21, тоже Аноним (ok), 17:08, 23/10/2015 [^] [ответить]    [к модератору]  
  • +/
    Пользователю вообще доступ к БД незачем.
    А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.
     
     
  • 4.28, Дворник (??), 22:04, 25/10/2015 [^] [ответить]    [к модератору]  
  • +/
    > Пользователю вообще доступ к БД незачем.

    Ну вот реальность вновь и вновь доказывает, что находятся, хмм, интересующиеся. И возможности изыскивают.

    > А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.

    Неплохо.. Ну, это субъективно.
    Но можно, например, дёрнуть функцию из БД (передав ей логин и пароль) из-под роли, которой разрешён доступ лишь к этой одной функции. А она уже может и роль новую вернуть.

    Повторюсь - зачем скриптам иметь полный доступ к БД?

     
  • 3.26, manster (ok), 00:12, 24/10/2015 [^] [ответить]    [к модератору]  
  • +/
    Для начала просто делать prepare + биндинг параметров, везде
     
     
  • 4.29, Дворник (??), 22:14, 25/10/2015 [^] [ответить]    [к модератору]  
  • +/
    > Для начала просто делать prepare + биндинг параметров, везде

    Это просто факт, не требующий обсуждения.

    Я же немного о ином. Гарантировать отсутствие ошибок невозможно в принципе. Не будет своих, так нарвёшься на дыру в php (раз уж Joomla на нём писана), или в веб-сервере, или в libgd или lib*sqlclient каком-нибудь... Но почему, например, возможность исполнения произвольного (php-)кода на сервере автоматом тянет за собой доступ ко всей БД (притом не только на запись, но и на alter/create/etc)?
    Вот это-то мне и не ясно.

     
  • 1.7, YetAnotherOnanym (ok), 01:49, 23/10/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Кто б удивлялся...
     
  • 1.25, Typhoon (ok), 23:10, 23/10/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Классно, можно бабло грести обновляя это, а если бабулетки не башляют, то пусть им шматуют базу в капусту, так им и надо жадинам )))
     
     
  • 2.27, Georges (ok), 00:50, 24/10/2015 [^] [ответить]    [к модератору]  
  • +/
    Обновляя и повышая безопасность и ускоряя джумлы.
    Ещё можно бэкапы настроить.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor