The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.12.2015 19:23  В Joomla устранена ещё одна критическая уязвимость

Спустя всего неделю с момента исправления прошлой критической уязвимости объявлено о выходе новой версии системы управления web-контентом Joomla 3.4.7 в которой устранено две уязвимости, одна из которых помечена как критическая и требующая незамедлительного обновления. Исправления для старых версий Joomla можно найти на данной странице.

Первая уязвимость проявляется в версиях Joomla с 1.5.0 по 3.4.6 и позволяет выполнить произвольный PHP-код на сервере через манипуляцию с параметрами идентификатора сеанса. Сообщается, что в основе уязвимости лежит ошибка в коде десериализации сессий в PHP, которая была устранена в сентябре в обновлениях PHP 5.4.45, 5.5.29 и 5.6.13.

Вторая уязвимость проявляется в выпусках с 3.0.0 по 3.4.6 и может привести к подстановке SQL-запроса из-за некорректной фильтрации данных запроса.

  1. Главная ссылка к новости (https://www.joomla.org/announc...)
  2. OpenNews: Новая критическая уязвимость в Joomla использована для совершения массовой атаки
  3. OpenNews: Критическая уязвимость в системе управления контентом Joomla
  4. OpenNews: В Joomla 3.3.5, 3.2.6 и 2.5.26 устранены уязвимости
  5. OpenNews: Проект Joomla представил собственный фреймворк для разработки приложений на языке PHP
  6. OpenNews: Новая версия системы управления контентом Joomla 3.2
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: joomla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, neon1ks (ok), 19:43, 22/12/2015 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Видимо народ решил хорошенько пройтись по всему коду) Не удивлюсь, если через недельку еще пару уязвимостей найдут.
    С другой стороны это хорошо - проект живет, развивается. Уязвимости закрываются.
     
     
  • 2.2, РОСКОМУЗОР (?), 19:58, 22/12/2015 [^] [ответить]    [к модератору]
  • +12 +/
    В флеше вон три сотни дыр за 15й год назакрывали..проект живёт,развивается.
     
     
  • 3.3, Аноним (-), 20:01, 22/12/2015 [^] [ответить]    [к модератору]
  • +/
    > В флеше вон три сотни дыр за 15й год назакрывали..проект живёт,развивается.
    > развивается.
    > развивается.

    Уверены?

     
     
  • 4.6, neon1ks (ok), 20:12, 22/12/2015 [^] [ответить]    [к модератору]
  • +8 +/
    Шелдон Купер? Как можно было не заметить сарказма?
     
  • 3.5, neon1ks (ok), 20:10, 22/12/2015 [^] [ответить]    [к модератору]
  • +1 +/
    Флеш в линуксе застрял на 11 версии (уже какой год?). Какое может быть развитие?
    Живет, точнее выживает как то. Никак не могут прибить.
     
     
  • 4.8, th3m3 (ok), 20:55, 22/12/2015 [^] [ответить]    [к модератору]  
  • +/
    В своей системе прибил эту гадость два года назад.
     
     
  • 5.15, Владимир (??), 23:34, 22/12/2015 [^] [ответить]    [к модератору]  
  • +/
    и как ты это сделал?
     
     
  • 6.21, qwe (??), 09:00, 23/12/2015 [^] [ответить]    [к модератору]  
  • +3 +/
    apt-get purge
     
  • 4.22, GrammarNarziss (?), 09:13, 23/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    "как-то", позорище
     
  • 4.24, невидимка (?), 09:27, 23/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > Флеш в линуксе застрял на 11 версии (уже какой год?). Какое может
    > быть развитие?
    > Живет, точнее выживает как то. Никак не могут прибить.

    Как ни странно, у меня после постоянно обновляется. Правда через прослойку FreshPlayerPlugin.

    Хотя да, его бы стереть, но УВЫ, не все сайты после нормально увидишь.

     
  • 1.4, Костик (??), 20:01, 22/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Спустя всего неделю с момента исправления прошлой критической уязвимости объявлено о выходе новой версии критической уязвимости...
     
  • 1.7, Michael Shigorin (ok), 20:38, 22/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Уж сколько раз твердили миру...
     
     
  • 2.10, Sluggard (ok), 21:09, 22/12/2015 [^] [ответить]    [к модератору]  
  • +6 +/
    Что надо использовать TYPO3 CMS на серверах с Alt Linux? )
     
  • 1.9, Аноним (-), 20:57, 22/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    инъекции - бестселлер ...

    Эффект кактуса неисчерпаем ...

     
  • 1.11, vitalif (ok), 21:16, 22/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вы расскажите сколько их там ещё НЕ устранено...
     
     
  • 2.17, Аноним (-), 23:58, 22/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > Вы расскажите сколько их там ещё НЕ устранено...

    Ты нам и расскажи. А то мешки-то рядами стоят.....

     
  • 1.12, Мимо проходил (?), 21:24, 22/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Забыли указать в новости, что патч для исправления старых версий Joomla находится на данной странице: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
     
  • 1.19, Ilya Indigo (ok), 03:08, 23/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Спасибо автору за новость.
     
  • 1.20, бедный буратино (ok), 05:13, 23/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Общество защиты прав уязвимостей выражает свой решительный протест
     
  • 1.23, index.php (?), 09:24, 23/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Лучше написать свое решение без дыр, чем использовать готовые дыры.
    Как говорится, бесплатный сыр не всегда бывает свежим.
     
  • 1.25, Georges (ok), 10:06, 23/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Взломают, всё равно хостер будет виноват.
     
  • 1.26, Аноним (-), 10:27, 23/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Кто эти цмс вообще юзает? Они все отвратного качества, при том, что весь нужный функционал пишется с нуля максимум за неделю.
     
     
  • 2.27, Georges (ok), 10:40, 23/12/2015 [^] [ответить]    [к модератору]  
  • +/
    Многие веб разаботчики и веб студии. Пипол же хавает, а за скорость работы отвечает хостер.
     
  • 2.28, Аноним (-), 10:42, 23/12/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    а кто твой функциАНАЛ будет поддерживать после того как ты через неделю скроешьс... весь текст скрыт [показать]
     
  • 1.29, ALex_hha (ok), 12:00, 23/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Кто эти цмс вообще юзает?

    все домохозяйки

    > Они все отвратного качества, при том, что весь нужный функционал пишется с нуля максимум за неделю.

    :facepalm: ну если ты пишешь для localhost, то да, можно наверное и за недельку написать функционал, который выводит Hello world

     
  • 1.30, Аноним (-), 13:16, 23/12/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Справедливости ради wordpress - 39,52 , joomla - 29 , drupal - 5 59 рейтинга бе... весь текст скрыт [показать]
     
  • 1.31, Вадим (??), 15:23, 23/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Уязвимостей нет, там где их не ищут, это я по опыту разработки могу найти, популярная CMS или фреймворк хоть какая то гарантия, что явные ляпы уже устранены, так как роют там постоянно.

    Меня всегда добивали люди, которые говорят, у меня свое ни когда не сломают ибо мое... Только смотришь на то, что они написали... и думаешь, не взломают, только если не будут ломать, а так их код защищен от честных людей не более.

     
     
  • 2.32, Michael Shigorin (ok), 23:29, 24/12/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    > Уязвимостей нет, там где их не ищут, это я по опыту разработки могу найти

    Найдите мне дырку, а лучше две, в каком-нить djbdns.

    И не надо защищать непотребство -- есть г, которое остаётся г, сколько его ни лопатят.

    Пока на secunia были открытые отчёты, тыкал в подобных случаях носом туда "зашитничков".

     
     
  • 3.34, Disaron (??), 11:58, 26/12/2015 [^] [ответить]    [к модератору]  
  • +/
    А когда не стало?
     
     
  • 4.35, Michael Shigorin (ok), 13:30, 26/12/2015 [^] [ответить]    [к модератору]  
  • +/
    Толком не заметил, но уж пару лет как, что ли... (перенесли в продажную часть сайта)
     
  • 1.33, Georges (ok), 11:16, 25/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Тем временем вышла версия 3.4.8 ...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor