Стала доступна для скачивания новая версия джумлы 3.6.5

Новая версия закрывает 3 обнаруженных уязвимости, исправляет 3 бага и направлена на усиление защиты пользовательских групп.

Релиз безопасности Joomla 3.6.5
Релиз безопасности Joomla 3.6.5

Итак, патч закрывает следующие уязвимости:

  • CVE-2016-9838 - повышение привилегий - уязвимы версии от 1.6 до 3.6.4 - как всегда некорректная фильтрация данных позволяет модифицировать действующие аккаунты: сброс логинов, паролей или прав пользователя.
  • CVE-2016-9836 - загрузка шеллов  - уязвимы версии от 3.0 до 3.6.4 - неадекватная проверка файлов позволяет загружать альтернативные расширения PHP файлов.
  • CVE-2016-9837 - раскрытие информации -  уязвимы версии от 3.0 до 3.6.4 - проверка прав пользователей компонента контента в шаблоне Beez3 позволяет увидеть запрещенный материал.

Кроме этого была усилена безопасность. Усилены возможность групп для предотвращения прав суперадминистратора посторонним группам. JUser::authorise() теперь возвращает только булево значение для предотвращения компрометации JAccess::check().

Были исправлены несколько багов:

- Исправлено обновление Joomla для пользователей Windows

- Пофикшена установка языкового пакета sr-YU

- Исправлены стандартные значения для создания пользователя при инсталляции.

Настоятельно рекомендую обновиться, кто еще не сделал, а также сообщить знакомым, чьи сайты находятся на уязвимой версии. К сожалению, пользователи джумлы 2.5 находятся в зоне риска из-за отсутствия патча, закрывающего критическую уязвимость. Однако защита админки поможет не дать скомпрометировать сайт. Рекомендую проверить на наличие посторонних администраторв в админке и при наличии оных стоит бить тревогу. Как только появится новая информация, материал будет обновлен. 

UPD: Патч для Joomla 2.5, устанавливать через админку.

Добавить комментарий