Пришло время для обновления сайтов на джумле. Небольшой релиз Joomla 3.6.4 не включает в себя каких-либо изменений функционала, а направлен на исправление двух критических уязвимостей. Настоятельно рекомендуется как можно скорее применить обновление, с учетом того, что угрозы классифицированы как высокоопасные.

Обновление безопасности Joomla 3.6.4
Обновление безопасности Joomla 3.6.4

Остановимся подробнее на уязвимостях, сразу упомяну, что кроме этого был исправлен баг двухфакторной авторизации - данные в некоторых случаях сохранялись в openssl и после сохранения конфигарация была незашифрованной. В выпущенном патче был модифицирован AES адаптер с совместимостью споследними версиями PHP 7.

CVE-2016-8870 - неадекватные проверки позволяли зарегистрировать пользователя, если регистрация была запрещена - уязвимы версии джумлы от 3.4.4 до 3.6.3

CVE-2016-8869 - плохо фильтруемые данные при регистрации позволяли создать пользователя с повышенными правами -  уязвимы версии джумлы от 3.4.4 до 3.6.3

Из изменений файлов можно выделить удаление метода регистрации в контроллере и введении дополнительной проверки ид пункта меню.

Как видно, уязвимости представляют опасность для компрометации сайта, поэтому стоит немедленно обновиться до последней версии.

 

Комментарии   
0 # JoomlaFan 26.10.2016 10:54
Жаль раньше 3.7 версия не вышла с их нормальным роутером.
Ответить | Ответить с цитатой | Цитировать
Добавить комментарий