Створення сайтів - студія веб-дизайну WebStudio2U Контактні дані веб-студії WebStudio2U RSS стрічка веб-студії WebStudio2U Мапа сайту Авторизація

Майже у всіх версіях Joomla! виявлено вкрай небезпечну вразливість

Майже у всіх версіях Joomla! виявлено вкрай небезпечну вразливість У листопаді 2016 року практично у всіх версіях популярної безплатної CMS Joomla! було виявлено вразливість, що представляє велику небезпеку для сайтів: зловмисники можуть через цю вразливість завантажити на сервер шкідливий код і змінити налаштування наявних облікових записів сайту, отримавши тим самим повний контроль над сайтом. Для розв'язання проблеми було випущено оновлення системи до версії 3.6.5.

Знайдена вразливість отримала ідентифікатор CVE-2016-9838, вперше про неї стало відомо на початку листопада 2016 року. З'ясувалося, що вразливість пов'язана з недостатньою фільтрацією даних та існувала на момент виявлення не менше 5 років. У результаті в зоні ризику опинилися сайти, що працюють під управлінням Joomla! з версії 1.6.0 по 3.6.4 включно, тобто майже всі доступні на сьогоднішній день.

У поданій розробниками версії Joomla! 3.6.5 виявлена вразливість усунена, поряд із деякими іншими виправленими проблемами. Власникам сайтів з CMS Joomla! вразливих версій рекомендовано якомога швидше оновитися до цієї версії, щоб мінімізувати ризик атаки зловмисників на сайт.

Оскільки застарілі версії системи, такі як 2.5.х, більше не підтримуються розробниками, для сайтів із такими версіями офіційного розв'язання проблеми немає. Зате є неофіційні. Наприклад, для версії 2.5.28 розробник відомого компонента VirtueMart для інтернет-магазинів на Joomla! випустив неофіційний патч.

Цей патч перезаписує файли session.php (шлях /libraries/joomla/session), debug.php (шлях /plugins/system/debug), component.php (шлях /administrator/components/com_config/models), registration.php (шлях /components/com_users/models) та user.php (шлях /libraries/joomla/user), якщо їхні контрольні суми не відповідають правильним. Встановити даний патч можна в адміністраторській панелі сайту через «Менеджер розширень».

Варто зазначити, що настільки небезпечну вразливість у коді Joomla! розробники виявляють уже не вперше. Минулий подібний випадок стався в грудні 2015 року, тобто буквально рік тому. Тоді вразливість дозволяла виконувати на сайті довільний код і торкнулася навіть гілки 1.5.х. У результаті для гілки 3.х було випущено оновлення 3.4.6, а не для підтримуваних більше гілок 1.5.х і 2.5.х ентузіасти випустили спеціальні патчі.

Теги:
критична вразливість joomla, виявлена вразливість joomla, remote code execution vulnerability в joomla, joomla 3 6 5, вразливість joomla 2016