The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

22.10.2015 22:45  Критическая уязвимость в системе управления контентом Joomla

Представлен внеплановый корректирующий выпуск системы управления контентом Joomla 3.4.5, в котором устранена критическая уязвимость, позволяющая осуществить подстановку SQL-запроса, путем отправки специально оформленного запроса. Уязвимость может быть эксплуатирована неаутентифицированным атакующим. Проблема проявляется во всех выпусках, начиная с Joomla 3.2. Пользователям рекомендуется срочно обновить свои системы.

Дополнение: опубликован эксплоит, позволяющий получить полный доступ к интерфейсу администратора сайтов на базе Joomla.



  1. Главная ссылка к новости (https://www.joomla.org/announc...)
  2. OpenNews: В Joomla 3.3.5, 3.2.6 и 2.5.26 устранены уязвимости
  3. OpenNews: Проект Joomla представил собственный фреймворк для разработки приложений на языке PHP
  4. OpenNews: Новая версия системы управления контентом Joomla 3.2
  5. OpenNews: Новая версия системы управления контентом Joomla 3.1
  6. OpenNews: Релиз системы управления контентом Joomla 3.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cms, joomla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.3, Аноним, 23:29, 22/10/2015 [ответить] [смотреть все]
  • –4 +/
    Конешно, он же написан на PHP, а этот язык совершенно не умеет пользоваться мозг... весь текст скрыт [показать]
     
     
  • 2.8, Аноним, 02:31, 23/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Язык прекрасный, гораздо лучше подходит для написания веб приложений чем всякие ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, angra, 06:42, 23/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Я не особо слежу за его развитием, но кажется этот лучший язык для веб приложени... весь текст скрыт [показать]
     
     
  • 4.10, Аноним, 07:06, 23/10/2015 [^] [ответить] [смотреть все]  
  • +/
    php-fpm встроен начиная с версии 5.3.
     
     
  • 5.12, Аноним, 08:32, 23/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Тебе же сказали, что PHP-FPM это обёртка над CGI
     
  • 2.17, Michael Shigorin, 11:33, 23/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Почему-то в Drupal и TYPO3 такого беспредела, как у этих детсадовцев, не наблюда... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Аноним, 13:26, 23/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Тут важна совсем другая штука, а именно чтобы предотвратить появление комментов... весь текст скрыт [показать]
     
  • 3.22, Typhoon, 23:01, 23/10/2015 [^] [ответить] [смотреть все]  
  • +/
    TYPO3 нужно долго изучать
     
  • 1.5, th3m3, 00:15, 23/10/2015 [ответить] [смотреть все]  
  • +7 +/
    Лол. Этим ещё кто-то пользуется?
     
     
  • 2.11, Александр, 08:10, 23/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
     
     
  • 3.13, Аноним, 09:15, 23/10/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Golang, Erlang, Rust, Python, C++14, Java.
     
     
  • 4.14, Аноним, 09:31, 23/10/2015 [^] [ответить] [смотреть все]  
  • +/
    ну в java-то уявимостей нет, а обновления они от скуки делают
     
  • 4.15, Аноним, 10:34, 23/10/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Хм Что-то раньше не слыхал о таких CMS ... весь текст скрыт [показать]
     
     
  • 5.16, YetAnotherOnanym, 11:01, 23/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Не залезая в гугол на бидоне - плон, джанго, на эрланге - зотоник, закись, чика... весь текст скрыт [показать]
     
  • 3.18, Michael Shigorin, 11:34, 23/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Например, теми же Drupal TYPO3 А php отчасти купируется mod_security, только н... весь текст скрыт [показать]
     
     
  • 4.23, Typhoon, 23:05, 23/10/2015 [^] [ответить] [смотреть все]  
  • +/
    А почему не жанга ... весь текст скрыт [показать]
     
  • 4.24, Typhoon, 23:07, 23/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Да и вообще нужно переходить на статические сайты... весь текст скрыт [показать]
     
  • 1.6, manster, 01:15, 23/10/2015 [ответить] [смотреть все]  
  • +2 +/
    т.е. как обычно - возможность SQL-инъекции ...
     
     
  • 2.20, Дворник, 16:45, 23/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > т.е. как обычно - возможность SQL-инъекции ...

    И, как обычно, весь SQL исполняется на SQL-сервере с максимальными (если не админскими) правами.
    Почему бы не ограничить соединение с SQL-сервером правами, необходимыми и достаточными для авторизированного на web-морде конкретного пользователя? Зачем, например, гостю иметь доступ к таблице с пользователями и их паролями (пусть даже и хешами с солью)?

     
     
  • 3.21, тоже Аноним, 17:08, 23/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Пользователю вообще доступ к БД незачем.
    А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.
     
     
  • 4.28, Дворник, 22:04, 25/10/2015 [^] [ответить] [смотреть все]  
  • +/
    > Пользователю вообще доступ к БД незачем.

    Ну вот реальность вновь и вновь доказывает, что находятся, хмм, интересующиеся. И возможности изыскивают.

    > А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.

    Неплохо.. Ну, это субъективно.
    Но можно, например, дёрнуть функцию из БД (передав ей логин и пароль) из-под роли, которой разрешён доступ лишь к этой одной функции. А она уже может и роль новую вернуть.

    Повторюсь - зачем скриптам иметь полный доступ к БД?

     
  • 3.26, manster, 00:12, 24/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Для начала просто делать prepare + биндинг параметров, везде
     
     
  • 4.29, Дворник, 22:14, 25/10/2015 [^] [ответить] [смотреть все]  
  • +/
    > Для начала просто делать prepare + биндинг параметров, везде

    Это просто факт, не требующий обсуждения.

    Я же немного о ином. Гарантировать отсутствие ошибок невозможно в принципе. Не будет своих, так нарвёшься на дыру в php (раз уж Joomla на нём писана), или в веб-сервере, или в libgd или lib*sqlclient каком-нибудь... Но почему, например, возможность исполнения произвольного (php-)кода на сервере автоматом тянет за собой доступ ко всей БД (притом не только на запись, но и на alter/create/etc)?
    Вот это-то мне и не ясно.

     
  • 1.7, YetAnotherOnanym, 01:49, 23/10/2015 [ответить] [смотреть все]  
  • +1 +/
    Кто б удивлялся...
     
  • 1.25, Typhoon, 23:10, 23/10/2015 [ответить] [смотреть все]  
  • +/
    Классно, можно бабло грести обновляя это, а если бабулетки не башляют, то пусть им шматуют базу в капусту, так им и надо жадинам )))
     
     
  • 2.27, Georges, 00:50, 24/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Обновляя и повышая безопасность и ускоряя джумлы.
    Ещё можно бэкапы настроить.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor