- 18, Dec 2015
- #1
Еще одной неприятностью этого месяца является дыра во всех версиях Joomla.
На самом деле Joomla унылый движок, который я не люблю, но информация оказалась полезной, тк некоторое время тому назад мы купили один сайт на этом убожестве.
Специального раздела по джумла нет, поэтому размещаю тему пока в общем разделе сайтостроения. Ниже письмо, которое я получил:
На самом деле Joomla унылый движок, который я не люблю, но информация оказалась полезной, тк некоторое время тому назад мы купили один сайт на этом убожестве.
Специального раздела по джумла нет, поэтому размещаю тему пока в общем разделе сайтостроения. Ниже письмо, которое я получил:
Как стало известно 14 декабря, была обнаружена критическая уязвимость во всех версиях Joomla! по 3.4.5 включительно.Вот сижу думаю, патчить, обновляться или пронесет. С джумла, наверное, не пронесет
Согласно информации от SecurityLab.ru:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за недостаточной обработки входных данных, во время записи в базу информации о браузере пользователя.
Удаленный пользователь может с помощью специально сформированного заголовка HTTP User-Agent внедрить и выполнить произвольный PHP код на целевой системе с привилегиями web-сервера.
Успешная эксплуатация уязвимости позволит злоумышленнику получить полный контроль над уязвимым сайтом.
Уязвимость распространяется на версии Joomla! 1.5 по 3.4.5 включительно. Производитель уже успел выпустить исправление безопасности. Новая версия 3.4.6 доступна на сайте вендора.
В качестве временного решения можно использовать подручные средства для блокирования эксплуатации уязвимости путем замены потенциально опасных данных в заголовке HTTP User-Agent. Пример конфигурации для web-сервера Apache:
RewriteCond %{HTTP_USER_AGENT} .*\\{.* [NC] RewriteRule .* - [F,L]
В настоящий момент нет данных о количестве сайтов, которые были скомпрометированы вследствие эксплуатации этой бреши.
Для решения проблемы необходимо установить последнюю версию CMS Joomla! (3.4.6) с сайта разработчика.
Рекомендуем Вам не откладывать обновление Вашего сайта, поскольку игнорирование данной проблемы можем нанести серьёзный урон его функционированию.
Ссылка