Стала доступна для скачивания новая версия джумлы 3.6.5
Новая версия закрывает 3 обнаруженных уязвимости, исправляет 3 бага и направлена на усиление защиты пользовательских групп.
Итак, патч закрывает следующие уязвимости:
- CVE-2016-9838 - повышение привилегий - уязвимы версии от 1.6 до 3.6.4 - как всегда некорректная фильтрация данных позволяет модифицировать действующие аккаунты: сброс логинов, паролей или прав пользователя.
- CVE-2016-9836 - загрузка шеллов - уязвимы версии от 3.0 до 3.6.4 - неадекватная проверка файлов позволяет загружать альтернативные расширения PHP файлов.
- CVE-2016-9837 - раскрытие информации - уязвимы версии от 3.0 до 3.6.4 - проверка прав пользователей компонента контента в шаблоне Beez3 позволяет увидеть запрещенный материал.
Кроме этого была усилена безопасность. Усилены возможность групп для предотвращения прав суперадминистратора посторонним группам. JUser::authorise() теперь возвращает только булево значение для предотвращения компрометации JAccess::check().
Были исправлены несколько багов:
- Исправлено обновление Joomla для пользователей Windows
- Пофикшена установка языкового пакета sr-YU
- Исправлены стандартные значения для создания пользователя при инсталляции.
Настоятельно рекомендую обновиться, кто еще не сделал, а также сообщить знакомым, чьи сайты находятся на уязвимой версии. К сожалению, пользователи джумлы 2.5 находятся в зоне риска из-за отсутствия патча, закрывающего критическую уязвимость. Однако защита админки поможет не дать скомпрометировать сайт. Рекомендую проверить на наличие посторонних администраторв в админке и при наличии оных стоит бить тревогу. Как только появится новая информация, материал будет обновлен.
UPD: Патч для Joomla 2.5, устанавливать через админку.