The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Критические уязвимости в системе управления контентом Joomla"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критические уязвимости в системе управления контентом Joomla"  +/
Сообщение от opennews (??) on 26-Окт-16, 10:33 
Разработчики свободной системы управления web-контентом Joomla опубликовали (https://www.joomla.org/announcements/release-news/5678-jooml...) экстренное обновление 3.6.4, в котором устранены две уязвимости, которым присвоен наивысший уровень опасности. Первая уязвимость (https://developer.joomla.org/security-centre/659-20161001-co...) (CVE-2016-8870 (https://security-tracker.debian.org/tracker/CVE-2016-8870)) позволяет зарегистрировать на сайте новую учётную запись, даже если регистрация новых пользователей запрещена в настройках. Вторая уязвимость (https://developer.joomla.org/security-centre/660-20161002-co...) (CVE-2016-8869 (https://security-tracker.debian.org/tracker/CVE-2016-8869)) позволяет любому внешнему посетителю создать нового пользователя и добавить его в любую группу доступа, в том числе передать ему права администратора. Проблемы проявляются в Joomla, начиная с выпуска 3.4.4, и вызваны (https://github.com/joomla/joomla-cms/commit/bae1d43938c87848...) оставлением в коде доступного для внешних обращений и не требующего аутентификации обработчика для регистрации новых пользователей.

URL: https://www.joomla.org/announcements/release-news/5678-jooml...
Новость: http://www.opennet.ru/opennews/art.shtml?num=45374

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критические уязвимости в системе управления контентом Joomla"  +1 +/
Сообщение от Аноним (??) on 26-Окт-16, 10:33 
Судя по изменениям в версии 3.6.4 это не уязвимость, а явный бэкдор.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Критические уязвимости в системе управления контентом Joomla"  –5 +/
Сообщение от Аноним (??) on 26-Окт-16, 10:36 
Знаешь, у именно вебмакак это таки может быть и уязвимость. Такого в любой вебне сплошь и рядом, совершенно без злого умысла. Просто от вебни тупеют.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Критические уязвимости в системе управления контентом Joomla"  –3 +/
Сообщение от Наноним on 26-Окт-16, 11:34 
и, таки, Вы пользуетесь вебней? Срочно рвите соединение! Иначе совсем превратитесь в макаку(без префикса "веб").
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

20. "Критические уязвимости в системе управления контентом Joomla"  +4 +/
Сообщение от Аноним (??) on 26-Окт-16, 13:57 
> и, таки, Вы пользуетесь вебней? Срочно рвите соединение! Иначе совсем превратитесь в
> макаку(без префикса "веб").

А вот видные мемберы класса подтянулись, так сказать.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Критические уязвимости в системе управления контентом Joomla"  +3 +/
Сообщение от AlexAT (ok) on 26-Окт-16, 17:05 
Судя по эпичности дыр - это джумла...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Критические уязвимости в системе управления контентом Joomla"  +1 +/
Сообщение от vitalif (ok) on 26-Окт-16, 10:47 
Они там когда-нибудь кончатся?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Критические уязвимости в системе управления контентом Joomla"  –1 +/
Сообщение от Аноним (??) on 26-Окт-16, 10:52 
Joomla 1.5 подвержена уязвимости?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Критические уязвимости в системе управления контентом Joomla"  +4 +/
Сообщение от Аноним (??) on 26-Окт-16, 11:31 
новость не читай, тупые вопросы задавай
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

31. "Критические уязвимости в системе управления контентом Joomla"  –1 +/
Сообщение от Ilya Indigo (ok) on 26-Окт-16, 18:38 
Нет. С ней всё в порядке.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Критические уязвимости в системе управления контентом Joomla"  +1 +/
Сообщение от А (??) on 26-Окт-16, 11:43 
Устранили _целых_ две, или _всего_ две? )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Критические уязвимости в системе управления контентом Joomla"  +/
Сообщение от Andrey Mitrofanov on 26-Окт-16, 11:50 
> Устранили _целых_ две, или _всего_ две? )

Думаешь, они те две набирали из ку-у-учи маленьких и _нецелых_? Однако!!

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Критические уязвимости в системе управления контентом Joomla"  +3 +/
Сообщение от Аноним Анонимович Анонимов on 26-Окт-16, 11:51 
>Joomla
>Критические уязвимости
>2016

Неужели по сей день есть адепты? Это как говорят в местах не столь отдалённых — зашквар.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Критические уязвимости в системе управления контентом Joomla"  +/
Сообщение от MMx on 26-Окт-16, 12:00 
Да когда эта поделка уже загнётся. Позорнее php поделку ещё поискать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Критические уязвимости в системе управления контентом Joomla"  +2 +/
Сообщение от Michael Shigorin email(ok) on 26-Окт-16, 13:29 
> Да когда эта поделка уже загнётся. Позорнее php поделку ещё поискать.

Ну почему, когда-то phpNuke давала жару.  Одного поля ягоды, сколько лет уж говорю, молодёшш порой искренне обижается, а в жумле это не лечится на уровне проекта и команды...

Сравните:
http://www.opennet.ru/openforum/vsluhforumID3/73925.html#35
http://www.opennet.ru/openforum/vsluhforumID3/81531.html#98

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

36. "Критические уязвимости в системе управления контентом Joomla"  –1 +/
Сообщение от Аноним (??) on 26-Окт-16, 23:17 
А что посоветуете вместо PHP?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

47. "Критические уязвимости в системе управления контентом Joomla"  –1 +/
Сообщение от a (??) on 27-Окт-16, 20:10 
очевидный python
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

15. "Критические уязвимости в системе управления контентом Joomla"  +/
Сообщение от omnomnin on 26-Окт-16, 13:25 
пипец,
они доиграются что хостеры их поделку будут банить сразу в договоре
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Критические уязвимости в системе управления контентом Joomla"  +/
Сообщение от Georges (ok) on 26-Окт-16, 14:35 
увы, слишком популярна
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

50. "Критические уязвимости в системе управления контентом Joomla"  +/
Сообщение от scorry (ok) on 28-Окт-16, 10:38 
А хостерам-то что за печаль? Каким образом юзер данные свои просрёт, что ли, или трафика накачает на свои же юзерские деньги? Пфэ.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

51. "Критические уязвимости в системе управления контентом Joomla"  +1 +/
Сообщение от anomymous on 28-Окт-16, 21:12 
> А хостерам-то что за печаль? Каким образом юзер данные свои просрёт, что
> ли, или трафика накачает на свои же юзерские деньги? Пфэ.

Хостерам печаль, когда эти поделки превращаются в куски бот-сети, и начинают получать-рассылать сотни и тысячи запросов в секунду.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "Критические уязвимости в системе управления контентом Joomla"  +/
Сообщение от scorry (ok) on 30-Окт-16, 20:55 
>> А хостерам-то что за печаль? Каким образом юзер данные свои просрёт, что
>> ли, или трафика накачает на свои же юзерские деньги? Пфэ.
> Хостерам печаль, когда эти поделки превращаются в куски бот-сети, и начинают получать-рассылать
> сотни и тысячи запросов в секунду.

Согласен. С такого угла зрения — да.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

18. "Критические уязвимости в системе управления контентом Joomla"  –1 +/
Сообщение от Аноним email(??) on 26-Окт-16, 13:30 
собака лает - караван идет
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Критические уязвимости в системе управления контентом Joomla"  +2 +/
Сообщение от Michael Shigorin email(ok) on 26-Окт-16, 13:33 
> собака лает - караван идет

"и никто
не хочет и думать о том,
пока
титаник плывёт..."

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

33. "Критические уязвимости в системе управления контентом Joomla"  +/
Сообщение от YetAnotherOnanym (ok) on 26-Окт-16, 19:08 
> люди плюются - мухи кружатся

Fixed

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Критические уязвимости в системе управления контентом Joomla"  +1 +/
Сообщение от th3m3 (ok) on 26-Окт-16, 14:45 
Её кто-то ещё использует?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Критические уязвимости в системе управления контентом Joomla"  –1 +/
Сообщение от Аноним email(??) on 26-Окт-16, 18:02 
Спасибо обновились. А есть ли возможность получения оповещения об уязвимости по почте?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Критические уязвимости в системе управления контентом Joomla"  +/
Сообщение от Michael Shigorin email(ok) on 26-Окт-16, 18:09 
> А есть ли возможность получения оповещения об уязвимости по почте?

А у них что, ещё и анонсовой рассылки по новым выпускам нету?!

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "Критические уязвимости в системе управления контентом Joomla"  +1 +/
Сообщение от A.Stahl (ok) on 26-Окт-16, 21:03 
>А есть ли возможность получения оповещения об уязвимости по почте?

Конечно есть. Дай мне рутовый доступ к твоему почтовому серверу и я буду тебя уведомлять в случае появления очередной уязвимости.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

41. "Критические уязвимости в системе управления контентом Joomla"  +/
Сообщение от atmega644 on 27-Окт-16, 05:52 
https://vulners.com/search?query=joomla%20order:published
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

43. "Критические уязвимости в системе управления контентом Joomla"  +1 +/
Сообщение от isox on 27-Окт-16, 12:13 
Идешь вот сюда: https://vulners.com/#subscriptions
Делаешь подписку по email на запрос  

type:joomla%20order:published

Получаешь email, если появилось что-то новое.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру