The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Joomla устранена ещё одна критическая уязвимость

22.12.2015 19:23

Спустя всего неделю с момента исправления прошлой критической уязвимости объявлено о выходе новой версии системы управления web-контентом Joomla 3.4.7 в которой устранено две уязвимости, одна из которых помечена как критическая и требующая незамедлительного обновления. Исправления для старых версий Joomla можно найти на данной странице.

Первая уязвимость проявляется в версиях Joomla с 1.5.0 по 3.4.6 и позволяет выполнить произвольный PHP-код на сервере через манипуляцию с параметрами идентификатора сеанса. Сообщается, что в основе уязвимости лежит ошибка в коде десериализации сессий в PHP, которая была устранена в сентябре в обновлениях PHP 5.4.45, 5.5.29 и 5.6.13.

Вторая уязвимость проявляется в выпусках с 3.0.0 по 3.4.6 и может привести к подстановке SQL-запроса из-за некорректной фильтрации данных запроса.

  1. Главная ссылка к новости (https://www.joomla.org/announc...)
  2. OpenNews: Новая критическая уязвимость в Joomla использована для совершения массовой атаки
  3. OpenNews: Критическая уязвимость в системе управления контентом Joomla
  4. OpenNews: В Joomla 3.3.5, 3.2.6 и 2.5.26 устранены уязвимости
  5. OpenNews: Проект Joomla представил собственный фреймворк для разработки приложений на языке PHP
  6. OpenNews: Новая версия системы управления контентом Joomla 3.2
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/43573-joomla
Ключевые слова: joomla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, neon1ks (ok), 19:43, 22/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Видимо народ решил хорошенько пройтись по всему коду) Не удивлюсь, если через недельку еще пару уязвимостей найдут.
    С другой стороны это хорошо - проект живет, развивается. Уязвимости закрываются.
     
     
  • 2.2, РОСКОМУЗОР (?), 19:58, 22/12/2015 [^] [^^] [^^^] [ответить]  
  • +12 +/
    В флеше вон три сотни дыр за 15й год назакрывали..проект живёт,развивается.
     
     
  • 3.3, Аноним (-), 20:01, 22/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > В флеше вон три сотни дыр за 15й год назакрывали..проект живёт,развивается.
    > развивается.
    > развивается.

    Уверены?

     
     
  • 4.6, neon1ks (ok), 20:12, 22/12/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Шелдон Купер? Как можно было не заметить сарказма?
     
  • 3.5, neon1ks (ok), 20:10, 22/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Флеш в линуксе застрял на 11 версии (уже какой год?). Какое может быть развитие?
    Живет, точнее выживает как то. Никак не могут прибить.
     
     
  • 4.8, th3m3 (ok), 20:55, 22/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В своей системе прибил эту гадость два года назад.
     
     
  • 5.15, Владимир (??), 23:34, 22/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    и как ты это сделал?
     
     
  • 6.21, qwe (??), 09:00, 23/12/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    apt-get purge
     
  • 4.22, GrammarNarziss (?), 09:13, 23/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "как-то", позорище
     
  • 4.24, невидимка (?), 09:27, 23/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Флеш в линуксе застрял на 11 версии (уже какой год?). Какое может
    > быть развитие?
    > Живет, точнее выживает как то. Никак не могут прибить.

    Как ни странно, у меня после постоянно обновляется. Правда через прослойку FreshPlayerPlugin.

    Хотя да, его бы стереть, но УВЫ, не все сайты после нормально увидишь.

     

  • 1.4, Костик (??), 20:01, 22/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Спустя всего неделю с момента исправления прошлой критической уязвимости объявлено о выходе новой версии критической уязвимости...
     
  • 1.7, Michael Shigorin (ok), 20:38, 22/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Уж сколько раз твердили миру...
     
     
  • 2.10, Sluggard (ok), 21:09, 22/12/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Что надо использовать TYPO3 CMS на серверах с Alt Linux? )
     

  • 1.9, Аноним (-), 20:57, 22/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    инъекции - бестселлер ...

    Эффект кактуса неисчерпаем ...

     
  • 1.11, vitalif (ok), 21:16, 22/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вы расскажите сколько их там ещё НЕ устранено...
     
     
  • 2.17, Аноним (-), 23:58, 22/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вы расскажите сколько их там ещё НЕ устранено...

    Ты нам и расскажи. А то мешки-то рядами стоят.....

     

  • 1.12, Мимо проходил (?), 21:24, 22/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Забыли указать в новости, что патч для исправления старых версий Joomla находится на данной странице: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
     
  • 1.19, Ilya Indigo (ok), 03:08, 23/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо автору за новость.
     
  • 1.20, бедный буратино (ok), 05:13, 23/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Общество защиты прав уязвимостей выражает свой решительный протест
     
  • 1.23, index.php (?), 09:24, 23/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше написать свое решение без дыр, чем использовать готовые дыры.
    Как говорится, бесплатный сыр не всегда бывает свежим.
     
  • 1.25, Georges (ok), 10:06, 23/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Взломают, всё равно хостер будет виноват.
     
  • 1.26, Аноним (-), 10:27, 23/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Кто эти цмс вообще юзает? Они все отвратного качества, при том, что весь нужный функционал пишется с нуля максимум за неделю.
     
     
  • 2.27, Georges (ok), 10:40, 23/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Многие веб разаботчики и веб студии. Пипол же хавает, а за скорость работы отвечает хостер.
     
  • 2.28, Аноним (-), 10:42, 23/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кто эти цмс вообще юзает? Они все отвратного качества, при том, что
    > весь нужный функционал пишется с нуля максимум за неделю.

    а кто твой функциАНАЛ будет поддерживать после того как ты через неделю скроешься в закат? джумла — дырявое дерьмо, но без него уважаемые учреждения вполне пользуются друпалом и вротпрессом, ибо там только плугины от васи-функциАНАЛА дырявые.

     

  • 1.29, ALex_hha (ok), 12:00, 23/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Кто эти цмс вообще юзает?

    все домохозяйки

    > Они все отвратного качества, при том, что весь нужный функционал пишется с нуля максимум за неделю.

    :facepalm: ну если ты пишешь для localhost, то да, можно наверное и за недельку написать функционал, который выводит Hello world

     
  • 1.30, Аноним (-), 13:16, 23/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Справедливости ради wordpress - 39,52%, joomla - 29%, drupal - 5.59% рейтинга бесплатных CMS. Учитывая что функционал и архитектура первого в подметки не годится второму и третьему, а второй за счет того же функционала и распространенности являются первостепенной целью для взломщиков, скорость выявления уязвимостей довольно низкая, чего не скажешь о скорости их устранения. А вот процент третьего делает его не интересным для взлома совершенно, что совсем не говорит о его защищенности.
    Об остальных просто смысла рассуждать нету - при процентном соотношении на уровне погрешности говорить что-то о их безопасности смысла никакого.

    Вообще развитие джумлы с 3й версии идет в правильном направлении. И это направление не в стену.

     
  • 1.31, Вадим (??), 15:23, 23/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уязвимостей нет, там где их не ищут, это я по опыту разработки могу найти, популярная CMS или фреймворк хоть какая то гарантия, что явные ляпы уже устранены, так как роют там постоянно.

    Меня всегда добивали люди, которые говорят, у меня свое ни когда не сломают ибо мое... Только смотришь на то, что они написали... и думаешь, не взломают, только если не будут ломать, а так их код защищен от честных людей не более.

     
     
  • 2.32, Michael Shigorin (ok), 23:29, 24/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Уязвимостей нет, там где их не ищут, это я по опыту разработки могу найти

    Найдите мне дырку, а лучше две, в каком-нить djbdns.

    И не надо защищать непотребство -- есть г, которое остаётся г, сколько его ни лопатят.

    Пока на secunia были открытые отчёты, тыкал в подобных случаях носом туда "зашитничков".

     
     
  • 3.34, Disaron (??), 11:58, 26/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А когда не стало?
     
     
  • 4.35, Michael Shigorin (ok), 13:30, 26/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Толком не заметил, но уж пару лет как, что ли... (перенесли в продажную часть сайта)
     

  • 1.33, Georges (ok), 11:16, 25/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Тем временем вышла версия 3.4.8 ...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру