Создание и раскрутка сайтов - веб-студия WebStudio2U Написать письмо в студию веб-дизайна WebStudio2U Авторизация Лента новостей студии веб-дизайна WebStudio2U Карта сайта

Почти во всех версиях Joomla! обнаружена крайне опасная уязвимость

Почти во всех версиях Joomla! обнаружена крайне опасная уязвимостьВ ноябре 2016 года практически во всех версиях популярной бесплатной CMS Joomla! была обнаружена уязвимость, представляющая большую опасность для сайтов: злоумышленники могут через эту уязвимость загрузить на сервер вредоносный код и изменить настройки существующих аккаунтов сайта, получив тем самым полный контроль над сайтом. Для решения проблемы было выпущено обновление системы до версии 3.6.5.

Найденная уязвимость получила идентификатор CVE-2016-9838, впервые о ней стало известно в начале ноября 2016 года. Выяснилось, что уязвимость связана с недостаточной фильтрацией данных и существовала на момент обнаружения не менее 5 лет. В результате в зоне риска оказались сайты, работающие под управлением Joomla! с версий 1.6.0 по 3.6.4 включительно, т. е. почти все доступные на сегодняшний день.

В представленной разработчиками версии Joomla! 3.6.5 обнаруженная уязвимость устранена, наряду с некоторыми другими исправленными проблемами. Владельцам сайтов с CMS Joomla! уязвимых версий рекомендуется как можно скорее обновиться до этой версии, чтобы минимизировать риск атаки злоумышленников на сайт.

Поскольку устаревшие версии системы, такие как 2.5.х, больше не поддерживаются разработчиками, для сайтов с такими версиями официального решения проблемы нет. Зато есть неофициальные. Например, для версии 2.5.28 разработчик известного компонента VirtueMart для интернет-магазинов на Joomla! выпустил неофициальный патч.

Этот патч перезаписывает файлы session.php (путь /libraries/joomla/session), debug.php (путь /plugins/system/debug), component.php (путь /administrator/components/com_config/models), registration.php (путь /components/com_users/models) и user.php (путь /libraries/joomla/user), если их контрольные суммы не соответствуют правильным. Установить данный патч можно в администраторской панели сайта через «Менеджер расширений».

Стоит отметить, что столь опасную уязвимость в коде Joomla! разработчики обнаруживают уже не впервые. Прошлый подобный случай произошел в декабре 2015 года, т. е. буквально год назад. Тогда уязвимость позволяла выполнять на сайте произвольный код и затронула даже ветку 1.5.х. В результате для ветки 3.х было выпущено обновление 3.4.6, а для не поддерживаемых более веток 1.5.х и 2.5.х энтузиасты выпустили специальные патчи.

Теги:
критическая уязвимость joomla, обнаружена уязвимость joomla, remote code execution vulnerability в joomla, joomla 3 6 5, уязвимость joomla 2016