В CMS Joomla обнаружена критическая уязвимость

Тема в разделе "Joomla", создана пользователем pasha-b, 16 дек 2015.

Статус темы:
Закрыта.
  1. pasha-b

    pasha-b

    Регистрация:
    9 янв 2013
    Сообщения:
    91
    Симпатии:
    12
    Во вторник 14 декабря команда разработки Joomla выпустила срочное обновление безопасности, закрывающее 0-day уязвимость, которая открывает злоумышленникам возможность удаленного исполнения кода. Хакеры уже активно пытаются атаковать уязвимые сайты.
    Уязвимость распространяется на версии Joomla 1.5 по 3.4.5 включительно. Всем пользователям CMS необходимо обновить свою систему.
    Пользователям старых неподдерживаемых версий 1.5.x и 2.5.x следует установить патчи.
     
    0micron и $iD нравится это.
  2. ooops

    ooops

    Регистрация:
    8 окт 2015
    Сообщения:
    9
    Симпатии:
    0
  3. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    И опять срочно обновляемся.
    "Спустя всего неделю с момента исправления прошлой критической уязвимости объявлено о выходе новой версии системы управления web-контентом Joomla 3.4.7 в которой устранено две уязвимости, она из которых помечена как критическая и требующая незамедлительного обновления. Исправления для старых версий Joomla можно найти на данной странице.
    Первая уязвимость проявляется в версиях Joomla с 1.5.0 по 3.4.6 и позволяет выполнить произвольный PHP-код на сервере через манипуляцию с параметрами идентификатора сеанса. Сообщается, что в основе уязвимости лежит ошибка в коде десериализации сессий в PHP, которая была устранена в сентябре в обновлениях PHP 5.4.45, 5.5.29 и 5.6.13.
    Вторая уязвимость проявляется в выпусках с 3.0.0 по 3.4.6 и может привести к подстановке SQL-запроса из-за некорректной фильтрации данных запроса."
    Взято с...

    Если что, то благодарим $iD'a за своевременное оповещение.
     
  4. Malder

    Malder

    Регистрация:
    2 апр 2016
    Сообщения:
    4
    Симпатии:
    0
    До 3.5 уже можно обновляться?
     
  5. pasha-b

    pasha-b

    Регистрация:
    9 янв 2013
    Сообщения:
    91
    Симпатии:
    12
    Можно. Те дыры, что обнаружились, там закрыты. Причем часть уязвимостей было из-за PHP, к самой CMS они не имеют отношения. На данный момент никакой информации, что в версии 3.5 что-то не так нет. А если версия Joomla ниже 3.4.6, то не только можно, но и нужно обновляться.
     
Статус темы:
Закрыта.