The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Joomla устранена ещё одна критическая уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от opennews (ok) on 22-Дек-15, 19:43 
Спустя всего неделю с момента исправления (https://www.opennet.me/opennews/art.shtml?num=43521) прошлой критической уязвимости объявлено (https://www.joomla.org/announcements/release-news/5643-jooml...) о выходе новой версии  системы управления web-контентом Joomla 3.4.7 в которой устранено две уязвимости, она из которых помечена как критическая и требующая незамедлительного обновления.


Первая уязвимость (https://developer.joomla.org/security-centre/639-20151206-co...) проявляется в версиях Joomla с 1.5.0 по 3.4.6 и позволяет выполнить произвольный PHP-код на сервере через манипуляцию с параметрами идентификатора сеанса. Сообщается, что в основе уязвимости лежит ошибка (https://bugs.php.net/bug.php?id=70219) в коде десериализации сессий в PHP, которая была устранена в сентябре в обновлениях PHP 5.4.45, 5.5.29 и 5.6.13.


Вторая уязвимость (https://developer.joomla.org/security-centre/640-20151207-co...) проявляется в выпусках с 3.0.0 по 3.4.6 и может привести к подстановке SQL-запроса из-за некорректной фильтрации данных запроса.

URL: https://www.joomla.org/announcements/release-news/5643-jooml...
Новость: http://www.opennet.me/opennews/art.shtml?num=43573

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Joomla устранена ещё одна критическая уязвимость"  –1 +/
Сообщение от neon1ks (ok) on 22-Дек-15, 19:43 
Видимо народ решил хорошенько пройтись по всему коду) Не удивлюсь, если через недельку еще пару уязвимостей найдут.
С другой стороны это хорошо - проект живет, развивается. Уязвимости закрываются.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В Joomla устранена ещё одна критическая уязвимость"  +12 +/
Сообщение от РОСКОМУЗОР on 22-Дек-15, 19:58 
В флеше вон три сотни дыр за 15й год назакрывали..проект живёт,развивается.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от Аноним (??) on 22-Дек-15, 20:01 
> В флеше вон три сотни дыр за 15й год назакрывали..проект живёт,развивается.
> развивается.
> развивается.

Уверены?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "В Joomla устранена ещё одна критическая уязвимость"  +8 +/
Сообщение от neon1ks (ok) on 22-Дек-15, 20:12 
Шелдон Купер? Как можно было не заметить сарказма?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "В Joomla устранена ещё одна критическая уязвимость"  +1 +/
Сообщение от neon1ks (ok) on 22-Дек-15, 20:10 
Флеш в линуксе застрял на 11 версии (уже какой год?). Какое может быть развитие?
Живет, точнее выживает как то. Никак не могут прибить.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от th3m3 (ok) on 22-Дек-15, 20:55 
В своей системе прибил эту гадость два года назад.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от Владимир email(??) on 22-Дек-15, 23:34 
и как ты это сделал?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "В Joomla устранена ещё одна критическая уязвимость"  +3 +/
Сообщение от qwe (??) on 23-Дек-15, 09:00 
apt-get purge
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "В Joomla устранена ещё одна критическая уязвимость"  +1 +/
Сообщение от GrammarNarziss on 23-Дек-15, 09:13 
"как-то", позорище
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

24. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от невидимка on 23-Дек-15, 09:27 
> Флеш в линуксе застрял на 11 версии (уже какой год?). Какое может
> быть развитие?
> Живет, точнее выживает как то. Никак не могут прибить.

Как ни странно, у меня после постоянно обновляется. Правда через прослойку FreshPlayerPlugin.

Хотя да, его бы стереть, но УВЫ, не все сайты после нормально увидишь.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

4. "В Joomla устранена ещё одна критическая уязвимость"  +5 +/
Сообщение от Костик (??) on 22-Дек-15, 20:01 
Спустя всего неделю с момента исправления прошлой критической уязвимости объявлено о выходе новой версии критической уязвимости...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В Joomla устранена ещё одна критическая уязвимость"  –4 +/
Сообщение от Michael Shigorin email(ok) on 22-Дек-15, 20:38 
Уж сколько раз твердили миру...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В Joomla устранена ещё одна критическая уязвимость"  +6 +/
Сообщение от Sluggard (ok) on 22-Дек-15, 21:09 
Что надо использовать TYPO3 CMS на серверах с Alt Linux? )
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "В Joomla устранена ещё одна критическая уязвимость"  +1 +/
Сообщение от Аноним (??) on 22-Дек-15, 20:57 
инъекции - бестселлер ...

Эффект кактуса неисчерпаем ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от vitalif (ok) on 22-Дек-15, 21:16 
Вы расскажите сколько их там ещё НЕ устранено...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "В Joomla устранена ещё одна критическая уязвимость"  +1 +/
Сообщение от Аноним (??) on 22-Дек-15, 23:58 
> Вы расскажите сколько их там ещё НЕ устранено...

Ты нам и расскажи. А то мешки-то рядами стоят.....

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "В Joomla устранена ещё одна критическая уязвимость"  +1 +/
Сообщение от Мимо проходил on 22-Дек-15, 21:24 
Забыли указать в новости, что патч для исправления старых версий Joomla находится на данной странице: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_ver...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от Ilya Indigo (ok) on 23-Дек-15, 03:08 
Спасибо автору за новость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В Joomla устранена ещё одна критическая уязвимость"  +4 +/
Сообщение от бедный буратино (ok) on 23-Дек-15, 05:13 
Общество защиты прав уязвимостей выражает свой решительный протест
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от index.php on 23-Дек-15, 09:24 
Лучше написать свое решение без дыр, чем использовать готовые дыры.
Как говорится, бесплатный сыр не всегда бывает свежим.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от Georges (ok) on 23-Дек-15, 10:06 
Взломают, всё равно хостер будет виноват.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "В Joomla устранена ещё одна критическая уязвимость"  –1 +/
Сообщение от Аноним (??) on 23-Дек-15, 10:27 
Кто эти цмс вообще юзает? Они все отвратного качества, при том, что весь нужный функционал пишется с нуля максимум за неделю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от Georges (ok) on 23-Дек-15, 10:40 
Многие веб разаботчики и веб студии. Пипол же хавает, а за скорость работы отвечает хостер.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "В Joomla устранена ещё одна критическая уязвимость"  –1 +/
Сообщение от Аноним (??) on 23-Дек-15, 10:42 
> Кто эти цмс вообще юзает? Они все отвратного качества, при том, что
> весь нужный функционал пишется с нуля максимум за неделю.

а кто твой функциАНАЛ будет поддерживать после того как ты через неделю скроешься в закат? джумла — дырявое дерьмо, но без него уважаемые учреждения вполне пользуются друпалом и вротпрессом, ибо там только плугины от васи-функциАНАЛА дырявые.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "В Joomla устранена ещё одна критическая уязвимость"  +1 +/
Сообщение от ALex_hha (ok) on 23-Дек-15, 12:00 
> Кто эти цмс вообще юзает?

все домохозяйки

> Они все отвратного качества, при том, что весь нужный функционал пишется с нуля максимум за неделю.

:facepalm: ну если ты пишешь для localhost, то да, можно наверное и за недельку написать функционал, который выводит Hello world

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от Аноним (??) on 23-Дек-15, 13:16 
Справедливости ради wordpress - 39,52%, joomla - 29%, drupal - 5.59% рейтинга бесплатных CMS. Учитывая что функционал и архитектура первого в подметки не годится второму и третьему, а второй за счет того же функционала и распространенности являются первостепенной целью для взломщиков, скорость выявления уязвимостей довольно низкая, чего не скажешь о скорости их устранения. А вот процент третьего делает его не интересным для взлома совершенно, что совсем не говорит о его защищенности.
Об остальных просто смысла рассуждать нету - при процентном соотношении на уровне погрешности говорить что-то о их безопасности смысла никакого.

Вообще развитие джумлы с 3й версии идет в правильном направлении. И это направление не в стену.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "В Joomla устранена ещё одна критическая уязвимость"  +1 +/
Сообщение от Вадим email(??) on 23-Дек-15, 15:23 
Уязвимостей нет, там где их не ищут, это я по опыту разработки могу найти, популярная CMS или фреймворк хоть какая то гарантия, что явные ляпы уже устранены, так как роют там постоянно.

Меня всегда добивали люди, которые говорят, у меня свое ни когда не сломают ибо мое... Только смотришь на то, что они написали... и думаешь, не взломают, только если не будут ломать, а так их код защищен от честных людей не более.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "В Joomla устранена ещё одна критическая уязвимость"  –1 +/
Сообщение от Michael Shigorin email(ok) on 24-Дек-15, 23:29 
> Уязвимостей нет, там где их не ищут, это я по опыту разработки могу найти

Найдите мне дырку, а лучше две, в каком-нить djbdns.

И не надо защищать непотребство -- есть г, которое остаётся г, сколько его ни лопатят.

Пока на secunia были открытые отчёты, тыкал в подобных случаях носом туда "зашитничков".

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от Disaron (??) on 26-Дек-15, 11:58 
А когда не стало?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

35. "В Joomla устранена ещё одна критическая уязвимость"  +/
Сообщение от Michael Shigorin email(ok) on 26-Дек-15, 13:30 
Толком не заметил, но уж пару лет как, что ли... (перенесли в продажную часть сайта)
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

33. "В Joomla устранена ещё одна критическая уязвимость"  +1 +/
Сообщение от Georges (ok) on 25-Дек-15, 11:16 
Тем временем вышла версия 3.4.8 ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру