The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критическая уязвимость в системе управления контентом Joomla"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от opennews (??) on 22-Окт-15, 22:51 
Представлен (https://www.joomla.org/announcements/release-news/5634-jooml...) внеплановый корректирующий выпуск системы управления контентом Joomla 3.4.5, в котором устранена критическая уязвимость (http://developer.joomla.org/security-centre/628-20151001-cor...), позволяющая осуществить подстановку SQL-запроса, путем отправки специально оформленного неаутентифицированного обращения. Проблема проявляется во всех выпусках, начиная с Joomla 3.2. Пользователям рекомендуется срочно обновить свои системы.


URL: https://www.joomla.org/announcements/release-news/5634-jooml...
Новость: https://www.opennet.ru/opennews/art.shtml?num=43186

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Критическая уязвимость в системе управления контентом Joomla"  –4 +/
Сообщение от Аноним (??) on 22-Окт-15, 23:29 
Конешно, он же написан на PHP, а этот язык совершенно не умеет пользоваться мозгами программистов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Критическая уязвимость в системе управления контентом Joomla"  –3 +/
Сообщение от Аноним (??) on 23-Окт-15, 02:31 
Язык прекрасный, гораздо лучше подходит для написания веб приложений чем всякие ruby,python и java с go. А неосиляторы пусть удосужатся хотя бы вменяемые аргументы привести против этого языка. Все что я слышу против php полный бред.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от angra (ok) on 23-Окт-15, 06:42 
Я не особо слежу за его развитием, но кажется этот лучший язык для веб приложений до сих пор не умеет нормальный fastcgi, только обертку над обычным cgi исполнением.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Аноним (??) on 23-Окт-15, 07:06 
php-fpm встроен начиная с версии 5.3.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Аноним (??) on 23-Окт-15, 08:32 
Тебе же сказали, что PHP-FPM это обёртка над CGI
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Критическая уязвимость в системе управления контентом Joomla"  +2 +/
Сообщение от Michael Shigorin email(ok) on 23-Окт-15, 11:33 
> Конешно, он же написан на PHP

Почему-то в Drupal и TYPO3 такого беспредела, как у этих детсадовцев, не наблюдается (хотя дырки тоже бывают, увы и ах).

Люди, которые думают, что инструмент заменяет эти самые мозги -- ну, понимаете, да? -- при этом из инструментов и впрямь стоит выбирать дающие более качественный результат, если уж делать.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Аноним (??) on 23-Окт-15, 13:26 
Тут важна совсем другая штука, а именно: чтобы предотвратить появление комментов вида "А ето ошибки там, потому что это язык такой плохой", достаточно заблаговременно поместить саркастичный коммент из той же самой сферы, но утрирующей эту идею до уровня очевидной нелепости (когда язык сам пользуется мозгоресурсами).

Очевидно, что исключение из разработки фактора программиста - полнейшая глупость, но тема эта, тем не менее, поднимается с заданным постоянством, достаточно лишь в каком-либо продукте, написанном на PHP, найти уязвимость.

(хотя, про предотвращение могу и ошибаться, так как такие комменты могли быть просто отмодерированы).

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Typhoon (ok) on 23-Окт-15, 23:01 
TYPO3 нужно долго изучать
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

5. "Критическая уязвимость в системе управления контентом Joomla"  +7 +/
Сообщение от th3m3 (ok) on 23-Окт-15, 00:15 
Лол. Этим ещё кто-то пользуется?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Александр (??) on 23-Окт-15, 08:10 
Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Критическая уязвимость в системе управления контентом Joomla"  +1 +/
Сообщение от Аноним (??) on 23-Окт-15, 09:15 
Golang, Erlang, Rust, Python, C++14, Java.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Аноним (??) on 23-Окт-15, 09:31 
ну в java-то уявимостей нет, а обновления они от скуки делают
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Критическая уязвимость в системе управления контентом Joomla"  +2 +/
Сообщение от Аноним (??) on 23-Окт-15, 10:34 
> Golang, Erlang, Rust, Python, C++14, Java.

Хм. Что-то раньше не слыхал о таких CMS.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от YetAnotherOnanym (ok) on 23-Окт-15, 11:01 
Не залезая в гугол: на бидоне - плон, джанго, на эрланге - зотоник, закись, чикагобосс.
Ваша реплика очень характерна для представителя массы php-кодеров - она показывает степень Вашей профессиональной эрудиции и отсутствие желания её хоть как-то развивать. Вы даже не потрудились посмотреть в вики - https://en.wikipedia.org/wiki/List_of_content_management_sys...
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Michael Shigorin email(ok) on 23-Окт-15, 11:34 
> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?

Например, теми же Drupal/TYPO3.  А php отчасти купируется mod_security, только настраивать его бермуторно...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

23. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Typhoon (ok) on 23-Окт-15, 23:05 
>> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
> Например, теми же Drupal/TYPO3.  А php отчасти купируется mod_security, только настраивать
> его бермуторно...

А почему не жанга?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Typhoon (ok) on 23-Окт-15, 23:07 
>> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
> Например, теми же Drupal/TYPO3.  А php отчасти купируется mod_security, только настраивать
> его бермуторно...

Да и вообще нужно переходить на статические сайты

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

6. "Критическая уязвимость в системе управления контентом Joomla"  +2 +/
Сообщение от manster (ok) on 23-Окт-15, 01:15 
т.е. как обычно - возможность SQL-инъекции ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Критическая уязвимость в системе управления контентом Joomla"  –1 +/
Сообщение от Дворник (??) on 23-Окт-15, 16:45 
> т.е. как обычно - возможность SQL-инъекции ...

И, как обычно, весь SQL исполняется на SQL-сервере с максимальными (если не админскими) правами.
Почему бы не ограничить соединение с SQL-сервером правами, необходимыми и достаточными для авторизированного на web-морде конкретного пользователя? Зачем, например, гостю иметь доступ к таблице с пользователями и их паролями (пусть даже и хешами с солью)?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

21. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от тоже Аноним email(ok) on 23-Окт-15, 17:08 
Пользователю вообще доступ к БД незачем.
А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Дворник (??) on 25-Окт-15, 22:04 
> Пользователю вообще доступ к БД незачем.

Ну вот реальность вновь и вновь доказывает, что находятся, хмм, интересующиеся. И возможности изыскивают.

> А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.

Неплохо.. Ну, это субъективно.
Но можно, например, дёрнуть функцию из БД (передав ей логин и пароль) из-под роли, которой разрешён доступ лишь к этой одной функции. А она уже может и роль новую вернуть.

Повторюсь - зачем скриптам иметь полный доступ к БД?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

26. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от manster (ok) on 24-Окт-15, 00:12 
Для начала просто делать prepare + биндинг параметров, везде
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Дворник (??) on 25-Окт-15, 22:14 
> Для начала просто делать prepare + биндинг параметров, везде

Это просто факт, не требующий обсуждения.

Я же немного о ином. Гарантировать отсутствие ошибок невозможно в принципе. Не будет своих, так нарвёшься на дыру в php (раз уж Joomla на нём писана), или в веб-сервере, или в libgd или lib*sqlclient каком-нибудь... Но почему, например, возможность исполнения произвольного (php-)кода на сервере автоматом тянет за собой доступ ко всей БД (притом не только на запись, но и на alter/create/etc)?
Вот это-то мне и не ясно.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

7. "Критическая уязвимость в системе управления контентом Joomla"  +1 +/
Сообщение от YetAnotherOnanym (ok) on 23-Окт-15, 01:49 
Кто б удивлялся...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Typhoon (ok) on 23-Окт-15, 23:10 
Классно, можно бабло грести обновляя это, а если бабулетки не башляют, то пусть им шматуют базу в капусту, так им и надо жадинам )))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Критическая уязвимость в системе управления контентом Joomla"  +/
Сообщение от Georges (ok) on 24-Окт-15, 00:50 
Обновляя и повышая безопасность и ускоряя джумлы.
Ещё можно бэкапы настроить.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру