Что-то зачастили в последнее время критические уязвимости в Joomla 3. Совсем недавно я рассказывал о планах выхода финала Joomla 3.5 и что именно ждет нас в джумле 3.5 на основе беты 1.

Однако буквально сегодня вышло критическое обновление безопасности. Оно закрывает 1 очень опасную и 4 менее важных уязвимостей. В остальном изменения функционала и возможностей не были затронуты в обновлении, поэтому можно спокойно обновляться, а точнее нужно!

Всему виной оказалось уязвимость в сбросе пароля, которая затрагивает и более старые ветки версий Joomla.

Итак, список исправленных уязвимостей:

  • Удалённое выполнение кода - высокий приоритет уязвимости - затрагивает все версии от 1.5 до 3.4.5 подробнее: Информация с браузера при сохранении сессии в базу данных некорректно фильтруется, что позволяет выполнить удаленное исполнение кода.
  • CRSF в com_templates - низкий приоритет - затрагивает версии с 3.2.0 по 3.4.5
  • Уязвимость по обходу директорий -  низкий приоритет - затрагивает версии с 3.2.0 по 3.4.5 подробнее: Недостаточное фильтрации запроса данных приводит к уязвимости обхода каталога
  •  Уязвимость по обходу директорий -  низкий приоритет - затрагивает версии с 3.4.0 по 3.4.5 подробнее: Некорректная обработка входных данных с XML файла при установке расширений могла приводить к уязвимости обхода

Настоятельно рекомендуется обновиться до новой версии в кратчайшие сроки. Кроме этого, критическая уязвимость распространяется на ветки джумлы 2.5 и 1.5, поддержка которых уже заверешена. Однако не стоит огорчаться, для них специально были выпущены патчи безопасностиd.

Скачать патч для закрытия уязвимости Remote Code Execution для Joomla 1.5

Скачать патч для закрытия уязвимости Remote Code Execution для Joomla 2.5

Обязательно установите патчи безопасности на свои старые сайты!

Update:

В связи с выходом Joomla 3.4.7 патчи были обновлены  Session Hardening (Усложнение сессии). Рекомендуется ставить обновленные патчи! 

Скачать патч для закрытия уязвимости Remote Code Execution для Joomla 1.5

Скачать патч для закрытия уязвимости Remote Code Execution для Joomla 2.5

 

 

Добавить комментарий