Инфо Уязвимость в Joomla позволяет изменить пароль и перехватить контроль над сайтом

DzSoft

3T
Регистрация
13 Сен 2007
Сообщения
357
Реакции
296
joomla.jpg


Разработчики Joomla выпустили Для просмотра ссылки Войди или Зарегистрируйся, в которой исправили ряд проблем, одна из которых фактически позволяет перехватить управление над чужим аккаунтом.

Уязвимость получила идентификатор Для просмотра ссылки Войди или Зарегистрируйся и высокую степень важности. Баг существует в коде Joomla давно, не менее пяти лет. Из-за этого уязвимость представляет опасность для сайтов, работающих под управлением версий от 1.6.0 до 3.6.4.


Баг обнаружил автор ][, Для просмотра ссылки Войди или Зарегистрируйся, в ходе работы над статьей «Для просмотра ссылки Войди или Зарегистрируйся». Проблема позволяет воспользоваться недостаточной фильтрацией данных, что позволяет загрузить на сервер вредоносный код и изменить настройки существующих аккаунтов. В частности, атакующий может изменить юзернеймы, сбросить пароли от аккаунтов, а также переназначить права групп. Кроме того, атака может помочь скомпрометировать CMS.

Также в релизе 3.6.5 были устранены shell upload уязвимость и баг, допускающий раскрытие данных. Обе эти проблемы получили статус низкоприоритетных.

Всем администраторам рекомендуется обновить Joomla как можно быстрее, так как хакеры очень быстро возьмут CVE-2016-9838 на вооружение. Как недавно Для просмотра ссылки Войди или Зарегистрируйсяглава Sucuri Дэниэл Сид (Daniel Cid), уже через неделю после публикации информации о подобных багах, любой необновленный сайт, скорее всего, скомпрометирован.

Источник: Для просмотра ссылки Войди или Зарегистрируйся
 
первая система на которой я начал делать сайты это была джумла - спустя 5 лет со всеми сайтами что то случилось, или клиенты переломали или взломаны и заражены, в этой джумле вечно какие то уязвимости появляются, латают одни дыры в других местах рвется
 
первая система на которой я начал делать сайты это была джумла - спустя 5 лет со всеми сайтами что то случилось, или клиенты переломали или взломаны и заражены, в этой джумле вечно какие то уязвимости появляются, латают одни дыры в других местах рвется

Первые деньги на разработке сайтов получил благодаря джумле, лет 7-8 назад она была самым ходовым движком , но потом половина рунета начали клепать гс-ы на готовых шаблонах и пошло поехало.
Я уже и забыл про нее, пользуюсь в основном коммерческими продуктами либо ModX.

Какие коммерческие движки используете?

Битрикс , Симпла , смотрю в сторону нет кета еще.
 
Последнее редактирование модератором:
Вопрос:можно ли самой залатать или как то исправить эту проблему в Джумла 3.4.8 не обновляясь до последней версии?
 
Если не секрет, в чём именно кроется нежелание обновляться?
Сначала обновилась вроде нормально всё было несколько минут,потом соответственно пришлось язык обновлять,потому что ошибка появилась,но это нормально,язык должен соответствовать версии,далее полезли ошибки при обновлении других компонентов и расширений,можно может было и их не обновлять,но некоторые не хотели работать с последней версией джумла,ну короче дообновлялась,что вообще ошибка на ошибке,решила назад пока откатиться,подожду пока другие расширения к последней версии джумла притерутся,ну чтобы без косяков было
 
Вопрос:можно ли самой залатать или как то исправить эту проблему в Джумла 3.4.8 не обновляясь до последней версии?
Без особых знаний точно не получится. Разве что искать специалиста, но это расходы.

Как вариант, можно поспрашивать здесь:
Для просмотра ссылки Войди или Зарегистрируйся

Там есть патч для предыдущей линейки Джумла. Вдруг на его базе реально сделать патч под версию 3.4.8
 
Не знаю как у Вас ломают, у меня много клиентских сайтов сидит на Joomla от v2.5 и все ок.
Руководствуюсь 2я правилами:
1. Качественный и надежный хостинг
2. Базовая настройка и защита CMS Joomla (.htaccess, удаления копирайта CMS, права 444 ну и компонент защиты RSFirewall)

Обновился до 3.6.5 без проблем!
 
Назад
Сверху