Представлен (https://www.joomla.org/announcements/release-news/5634-jooml...) внеплановый корректирующий выпуск системы управления контентом Joomla 3.4.5, в котором устранена критическая уязвимость (http://developer.joomla.org/security-centre/628-20151001-cor...), позволяющая осуществить подстановку SQL-запроса, путем отправки специально оформленного неаутентифицированного обращения. Проблема проявляется во всех выпусках, начиная с Joomla 3.2. Пользователям рекомендуется срочно обновить свои системы.
URL: https://www.joomla.org/announcements/release-news/5634-jooml...
Новость: http://www.opennet.me/opennews/art.shtml?num=43186
Конешно, он же написан на PHP, а этот язык совершенно не умеет пользоваться мозгами программистов.
Язык прекрасный, гораздо лучше подходит для написания веб приложений чем всякие ruby,python и java с go. А неосиляторы пусть удосужатся хотя бы вменяемые аргументы привести против этого языка. Все что я слышу против php полный бред.
Я не особо слежу за его развитием, но кажется этот лучший язык для веб приложений до сих пор не умеет нормальный fastcgi, только обертку над обычным cgi исполнением.
php-fpm встроен начиная с версии 5.3.
Тебе же сказали, что PHP-FPM это обёртка над CGI
> Конешно, он же написан на PHPПочему-то в Drupal и TYPO3 такого беспредела, как у этих детсадовцев, не наблюдается (хотя дырки тоже бывают, увы и ах).
Люди, которые думают, что инструмент заменяет эти самые мозги -- ну, понимаете, да? -- при этом из инструментов и впрямь стоит выбирать дающие более качественный результат, если уж делать.
Тут важна совсем другая штука, а именно: чтобы предотвратить появление комментов вида "А ето ошибки там, потому что это язык такой плохой", достаточно заблаговременно поместить саркастичный коммент из той же самой сферы, но утрирующей эту идею до уровня очевидной нелепости (когда язык сам пользуется мозгоресурсами).Очевидно, что исключение из разработки фактора программиста - полнейшая глупость, но тема эта, тем не менее, поднимается с заданным постоянством, достаточно лишь в каком-либо продукте, написанном на PHP, найти уязвимость.
(хотя, про предотвращение могу и ошибаться, так как такие комменты могли быть просто отмодерированы).
TYPO3 нужно долго изучать
Лол. Этим ещё кто-то пользуется?
Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
Golang, Erlang, Rust, Python, C++14, Java.
ну в java-то уявимостей нет, а обновления они от скуки делают
> Golang, Erlang, Rust, Python, C++14, Java.Хм. Что-то раньше не слыхал о таких CMS.
Не залезая в гугол: на бидоне - плон, джанго, на эрланге - зотоник, закись, чикагобосс.
Ваша реплика очень характерна для представителя массы php-кодеров - она показывает степень Вашей профессиональной эрудиции и отсутствие желания её хоть как-то развивать. Вы даже не потрудились посмотреть в вики - https://en.wikipedia.org/wiki/List_of_content_management_sys...
> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?Например, теми же Drupal/TYPO3. А php отчасти купируется mod_security, только настраивать его бермуторно...
>> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
> Например, теми же Drupal/TYPO3. А php отчасти купируется mod_security, только настраивать
> его бермуторно...А почему не жанга?
>> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
> Например, теми же Drupal/TYPO3. А php отчасти купируется mod_security, только настраивать
> его бермуторно...Да и вообще нужно переходить на статические сайты
т.е. как обычно - возможность SQL-инъекции ...
> т.е. как обычно - возможность SQL-инъекции ...И, как обычно, весь SQL исполняется на SQL-сервере с максимальными (если не админскими) правами.
Почему бы не ограничить соединение с SQL-сервером правами, необходимыми и достаточными для авторизированного на web-морде конкретного пользователя? Зачем, например, гостю иметь доступ к таблице с пользователями и их паролями (пусть даже и хешами с солью)?
Пользователю вообще доступ к БД незачем.
А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.
> Пользователю вообще доступ к БД незачем.Ну вот реальность вновь и вновь доказывает, что находятся, хмм, интересующиеся. И возможности изыскивают.
> А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.
Неплохо.. Ну, это субъективно.
Но можно, например, дёрнуть функцию из БД (передав ей логин и пароль) из-под роли, которой разрешён доступ лишь к этой одной функции. А она уже может и роль новую вернуть.Повторюсь - зачем скриптам иметь полный доступ к БД?
Для начала просто делать prepare + биндинг параметров, везде
> Для начала просто делать prepare + биндинг параметров, вездеЭто просто факт, не требующий обсуждения.
Я же немного о ином. Гарантировать отсутствие ошибок невозможно в принципе. Не будет своих, так нарвёшься на дыру в php (раз уж Joomla на нём писана), или в веб-сервере, или в libgd или lib*sqlclient каком-нибудь... Но почему, например, возможность исполнения произвольного (php-)кода на сервере автоматом тянет за собой доступ ко всей БД (притом не только на запись, но и на alter/create/etc)?
Вот это-то мне и не ясно.
Кто б удивлялся...
Классно, можно бабло грести обновляя это, а если бабулетки не башляют, то пусть им шматуют базу в капусту, так им и надо жадинам )))
Обновляя и повышая безопасность и ускоряя джумлы.
Ещё можно бэкапы настроить.