The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в системе управления контентом Joomla

22.10.2015 22:45

Представлен внеплановый корректирующий выпуск системы управления контентом Joomla 3.4.5, в котором устранена критическая уязвимость, позволяющая осуществить подстановку SQL-запроса, путем отправки специально оформленного запроса. Уязвимость может быть эксплуатирована неаутентифицированным атакующим. Проблема проявляется во всех выпусках, начиная с Joomla 3.2. Пользователям рекомендуется срочно обновить свои системы.

Дополнение: опубликован эксплоит, позволяющий получить полный доступ к интерфейсу администратора сайтов на базе Joomla.



  1. Главная ссылка к новости (https://www.joomla.org/announc...)
  2. OpenNews: В Joomla 3.3.5, 3.2.6 и 2.5.26 устранены уязвимости
  3. OpenNews: Проект Joomla представил собственный фреймворк для разработки приложений на языке PHP
  4. OpenNews: Новая версия системы управления контентом Joomla 3.2
  5. OpenNews: Новая версия системы управления контентом Joomla 3.1
  6. OpenNews: Релиз системы управления контентом Joomla 3.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cms, joomla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (26) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.3, Аноним (-), 23:29, 22/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Конешно, он же написан на PHP, а этот язык совершенно не умеет пользоваться мозгами программистов.
     
     
  • 2.8, Аноним (-), 02:31, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Язык прекрасный, гораздо лучше подходит для написания веб приложений чем всякие ruby,python и java с go. А неосиляторы пусть удосужатся хотя бы вменяемые аргументы привести против этого языка. Все что я слышу против php полный бред.
     
     
  • 3.9, angra (ok), 06:42, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я не особо слежу за его развитием, но кажется этот лучший язык для веб приложений до сих пор не умеет нормальный fastcgi, только обертку над обычным cgi исполнением.
     
     
  • 4.10, Аноним (-), 07:06, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    php-fpm встроен начиная с версии 5.3.
     
     
  • 5.12, Аноним (-), 08:32, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе же сказали, что PHP-FPM это обёртка над CGI
     
  • 2.17, Michael Shigorin (ok), 11:33, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Конешно, он же написан на PHP

    Почему-то в Drupal и TYPO3 такого беспредела, как у этих детсадовцев, не наблюдается (хотя дырки тоже бывают, увы и ах).

    Люди, которые думают, что инструмент заменяет эти самые мозги -- ну, понимаете, да? -- при этом из инструментов и впрямь стоит выбирать дающие более качественный результат, если уж делать.

     
     
  • 3.19, Аноним (-), 13:26, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Тут важна совсем другая штука, а именно: чтобы предотвратить появление комментов вида "А ето ошибки там, потому что это язык такой плохой", достаточно заблаговременно поместить саркастичный коммент из той же самой сферы, но утрирующей эту идею до уровня очевидной нелепости (когда язык сам пользуется мозгоресурсами).

    Очевидно, что исключение из разработки фактора программиста - полнейшая глупость, но тема эта, тем не менее, поднимается с заданным постоянством, достаточно лишь в каком-либо продукте, написанном на PHP, найти уязвимость.

    (хотя, про предотвращение могу и ошибаться, так как такие комменты могли быть просто отмодерированы).

     
  • 3.22, Typhoon (ok), 23:01, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    TYPO3 нужно долго изучать
     

  • 1.5, th3m3 (ok), 00:15, 23/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Лол. Этим ещё кто-то пользуется?
     
     
  • 2.11, Александр (??), 08:10, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
     
     
  • 3.13, Аноним (-), 09:15, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Golang, Erlang, Rust, Python, C++14, Java.
     
     
  • 4.14, Аноним (-), 09:31, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ну в java-то уявимостей нет, а обновления они от скуки делают
     
  • 4.15, Аноним (-), 10:34, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Golang, Erlang, Rust, Python, C++14, Java.

    Хм. Что-то раньше не слыхал о таких CMS.

     
     
  • 5.16, YetAnotherOnanym (ok), 11:01, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не залезая в гугол: на бидоне - плон, джанго, на эрланге - зотоник, закись, чикагобосс.
    Ваша реплика очень характерна для представителя массы php-кодеров - она показывает степень Вашей профессиональной эрудиции и отсутствие желания её хоть как-то развивать. Вы даже не потрудились посмотреть в вики - https://en.wikipedia.org/wiki/List_of_content_management_systems
     
  • 3.18, Michael Shigorin (ok), 11:34, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?

    Например, теми же Drupal/TYPO3.  А php отчасти купируется mod_security, только настраивать его бермуторно...

     
     
  • 4.23, Typhoon (ok), 23:05, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
    > Например, теми же Drupal/TYPO3.  А php отчасти купируется mod_security, только настраивать
    > его бермуторно...

    А почему не жанга?

     
  • 4.24, Typhoon (ok), 23:07, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?
    > Например, теми же Drupal/TYPO3.  А php отчасти купируется mod_security, только настраивать
    > его бермуторно...

    Да и вообще нужно переходить на статические сайты

     

  • 1.6, manster (ok), 01:15, 23/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    т.е. как обычно - возможность SQL-инъекции ...
     
     
  • 2.20, Дворник (??), 16:45, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > т.е. как обычно - возможность SQL-инъекции ...

    И, как обычно, весь SQL исполняется на SQL-сервере с максимальными (если не админскими) правами.
    Почему бы не ограничить соединение с SQL-сервером правами, необходимыми и достаточными для авторизированного на web-морде конкретного пользователя? Зачем, например, гостю иметь доступ к таблице с пользователями и их паролями (пусть даже и хешами с солью)?

     
     
  • 3.21, тоже Аноним (ok), 17:08, 23/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Пользователю вообще доступ к БД незачем.
    А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.
     
     
  • 4.28, Дворник (??), 22:04, 25/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Пользователю вообще доступ к БД незачем.

    Ну вот реальность вновь и вновь доказывает, что находятся, хмм, интересующиеся. И возможности изыскивают.

    > А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.

    Неплохо.. Ну, это субъективно.
    Но можно, например, дёрнуть функцию из БД (передав ей логин и пароль) из-под роли, которой разрешён доступ лишь к этой одной функции. А она уже может и роль новую вернуть.

    Повторюсь - зачем скриптам иметь полный доступ к БД?

     
  • 3.26, manster (ok), 00:12, 24/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Для начала просто делать prepare + биндинг параметров, везде
     
     
  • 4.29, Дворник (??), 22:14, 25/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Для начала просто делать prepare + биндинг параметров, везде

    Это просто факт, не требующий обсуждения.

    Я же немного о ином. Гарантировать отсутствие ошибок невозможно в принципе. Не будет своих, так нарвёшься на дыру в php (раз уж Joomla на нём писана), или в веб-сервере, или в libgd или lib*sqlclient каком-нибудь... Но почему, например, возможность исполнения произвольного (php-)кода на сервере автоматом тянет за собой доступ ко всей БД (притом не только на запись, но и на alter/create/etc)?
    Вот это-то мне и не ясно.

     

  • 1.7, YetAnotherOnanym (ok), 01:49, 23/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кто б удивлялся...
     
  • 1.25, Typhoon (ok), 23:10, 23/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Классно, можно бабло грести обновляя это, а если бабулетки не башляют, то пусть им шматуют базу в капусту, так им и надо жадинам )))
     
     
  • 2.27, Georges (ok), 00:50, 24/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Обновляя и повышая безопасность и ускоряя джумлы.
    Ещё можно бэкапы настроить.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру