Во вторник 14 декабря команда разработки Joomla выпустила срочное обновление безопасности, закрывающее 0-day уязвимость, которая открывает злоумышленникам возможность удаленного исполнения кода. Хакеры уже активно пытаются атаковать уязвимые сайты. Уязвимость распространяется на версии Joomla 1.5 по 3.4.5 включительно. Всем пользователям CMS необходимо обновить свою систему. Пользователям старых неподдерживаемых версий 1.5.x и 2.5.x следует установить патчи.
И опять срочно обновляемся. "Спустя всего неделю с момента исправления прошлой критической уязвимости объявлено о выходе новой версии системы управления web-контентом Joomla 3.4.7 в которой устранено две уязвимости, она из которых помечена как критическая и требующая незамедлительного обновления. Исправления для старых версий Joomla можно найти на данной странице. Первая уязвимость проявляется в версиях Joomla с 1.5.0 по 3.4.6 и позволяет выполнить произвольный PHP-код на сервере через манипуляцию с параметрами идентификатора сеанса. Сообщается, что в основе уязвимости лежит ошибка в коде десериализации сессий в PHP, которая была устранена в сентябре в обновлениях PHP 5.4.45, 5.5.29 и 5.6.13. Вторая уязвимость проявляется в выпусках с 3.0.0 по 3.4.6 и может привести к подстановке SQL-запроса из-за некорректной фильтрации данных запроса." Взято с... Если что, то благодарим $iD'a за своевременное оповещение.
Можно. Те дыры, что обнаружились, там закрыты. Причем часть уязвимостей было из-за PHP, к самой CMS они не имеют отношения. На данный момент никакой информации, что в версии 3.5 что-то не так нет. А если версия Joomla ниже 3.4.6, то не только можно, но и нужно обновляться.
