Спустя всего неделю с момента исправления (https://www.opennet.me/opennews/art.shtml?num=43521) прошлой критической уязвимости объявлено (https://www.joomla.org/announcements/release-news/5643-jooml...) о выходе новой версии  системы управления web-контентом Joomla 3.4.7 в которой устранено две уязвимости, она из которых помечена как критическая и требующая незамедлительного обновления.

Первая уязвимость (https://developer.joomla.org/security-centre/639-20151206-co...) проявляется в версиях Joomla с 1.5.0 по 3.4.6 и позволяет выполнить произвольный PHP-код на сервере через манипуляцию с параметрами идентификатора сеанса. Сообщается, что в основе уязвимости лежит ошибка (https://bugs.php.net/bug.php?id=70219) в коде десериализации сессий в PHP, которая была устранена в сентябре в обновлениях PHP 5.4.45, 5.5.29 и 5.6.13.

Вторая уязвимость (https://developer.joomla.org/security-centre/640-20151207-co...) проявляется в выпусках с 3.0.0 по 3.4.6 и может привести к подстановке SQL-запроса из-за некорректной фильтрации данных запроса.

URL: https://www.joomla.org/announcements/release-news/5643-jooml...
Новость: http://www.opennet.me/opennews/art.shtml?num=43573

• В Joomla устранена ещё одна критическая уязвимость,neon1ks, 19:43 , 22-Дек-15
  • В Joomla устранена ещё одна критическая уязвимость,РОСКОМУЗОР, 19:58 , 22-Дек-15
    • В Joomla устранена ещё одна критическая уязвимость,Аноним, 20:01 , 22-Дек-15
      • В Joomla устранена ещё одна критическая уязвимость,neon1ks, 20:12 , 22-Дек-15
    • В Joomla устранена ещё одна критическая уязвимость,neon1ks, 20:10 , 22-Дек-15
      • В Joomla устранена ещё одна критическая уязвимость,th3m3, 20:55 , 22-Дек-15
        • В Joomla устранена ещё одна критическая уязвимость,Владимир, 23:34 , 22-Дек-15
          • В Joomla устранена ещё одна критическая уязвимость,qwe, 09:00 , 23-Дек-15
      • В Joomla устранена ещё одна критическая уязвимость,GrammarNarziss, 09:13 , 23-Дек-15
      • В Joomla устранена ещё одна критическая уязвимость,невидимка, 09:27 , 23-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,Костик, 20:01 , 22-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,Michael Shigorin, 20:38 , 22-Дек-15
  • В Joomla устранена ещё одна критическая уязвимость,Sluggard, 21:09 , 22-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,Аноним, 20:57 , 22-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,vitalif, 21:16 , 22-Дек-15
  • В Joomla устранена ещё одна критическая уязвимость,Аноним, 23:58 , 22-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,Мимо проходил, 21:24 , 22-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,Ilya Indigo, 03:08 , 23-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,бедный буратино, 05:13 , 23-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,index.php, 09:24 , 23-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,Georges, 10:06 , 23-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,Аноним, 10:27 , 23-Дек-15
  • В Joomla устранена ещё одна критическая уязвимость,Georges, 10:40 , 23-Дек-15
  • В Joomla устранена ещё одна критическая уязвимость,Аноним, 10:42 , 23-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,ALex_hha, 12:00 , 23-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,Аноним, 13:16 , 23-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,Вадим, 15:23 , 23-Дек-15
  • В Joomla устранена ещё одна критическая уязвимость,Michael Shigorin, 23:29 , 24-Дек-15
    • В Joomla устранена ещё одна критическая уязвимость,Disaron, 11:58 , 26-Дек-15
      • В Joomla устранена ещё одна критическая уязвимость,Michael Shigorin, 13:30 , 26-Дек-15
• В Joomla устранена ещё одна критическая уязвимость,Georges, 11:16 , 25-Дек-15

Видимо народ решил хорошенько пройтись по всему коду) Не удивлюсь, если через недельку еще пару уязвимостей найдут.
С другой стороны это хорошо - проект живет, развивается. Уязвимости закрываются.

В флеше вон три сотни дыр за 15й год назакрывали..проект живёт,развивается.

> В флеше вон три сотни дыр за 15й год назакрывали..проект живёт,развивается.
> развивается.
> развивается.

Уверены?

Шелдон Купер? Как можно было не заметить сарказма?

Флеш в линуксе застрял на 11 версии (уже какой год?). Какое может быть развитие?
Живет, точнее выживает как то. Никак не могут прибить.

В своей системе прибил эту гадость два года назад.

и как ты это сделал?

apt-get purge

"как-то", позорище

> Флеш в линуксе застрял на 11 версии (уже какой год?). Какое может
> быть развитие?
> Живет, точнее выживает как то. Никак не могут прибить.

Как ни странно, у меня после постоянно обновляется. Правда через прослойку FreshPlayerPlugin.

Хотя да, его бы стереть, но УВЫ, не все сайты после нормально увидишь.

Спустя всего неделю с момента исправления прошлой критической уязвимости объявлено о выходе новой версии критической уязвимости...

Уж сколько раз твердили миру...

Что надо использовать TYPO3 CMS на серверах с Alt Linux? )

инъекции - бестселлер ...

Эффект кактуса неисчерпаем ...

Вы расскажите сколько их там ещё НЕ устранено...

> Вы расскажите сколько их там ещё НЕ устранено...

Ты нам и расскажи. А то мешки-то рядами стоят.....

Забыли указать в новости, что патч для исправления старых версий Joomla находится на данной странице: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_ver...

Спасибо автору за новость.

Общество защиты прав уязвимостей выражает свой решительный протест

Лучше написать свое решение без дыр, чем использовать готовые дыры.
Как говорится, бесплатный сыр не всегда бывает свежим.

Взломают, всё равно хостер будет виноват.

Кто эти цмс вообще юзает? Они все отвратного качества, при том, что весь нужный функционал пишется с нуля максимум за неделю.

Многие веб разаботчики и веб студии. Пипол же хавает, а за скорость работы отвечает хостер.

> Кто эти цмс вообще юзает? Они все отвратного качества, при том, что
> весь нужный функционал пишется с нуля максимум за неделю.

а кто твой функциАНАЛ будет поддерживать после того как ты через неделю скроешься в закат? джумла — дырявое дерьмо, но без него уважаемые учреждения вполне пользуются друпалом и вротпрессом, ибо там только плугины от васи-функциАНАЛА дырявые.

> Кто эти цмс вообще юзает?

все домохозяйки

> Они все отвратного качества, при том, что весь нужный функционал пишется с нуля максимум за неделю.

:facepalm: ну если ты пишешь для localhost, то да, можно наверное и за недельку написать функционал, который выводит Hello world

Справедливости ради wordpress - 39,52%, joomla - 29%, drupal - 5.59% рейтинга бесплатных CMS. Учитывая что функционал и архитектура первого в подметки не годится второму и третьему, а второй за счет того же функционала и распространенности являются первостепенной целью для взломщиков, скорость выявления уязвимостей довольно низкая, чего не скажешь о скорости их устранения. А вот процент третьего делает его не интересным для взлома совершенно, что совсем не говорит о его защищенности.
Об остальных просто смысла рассуждать нету - при процентном соотношении на уровне погрешности говорить что-то о их безопасности смысла никакого.

Вообще развитие джумлы с 3й версии идет в правильном направлении. И это направление не в стену.

Уязвимостей нет, там где их не ищут, это я по опыту разработки могу найти, популярная CMS или фреймворк хоть какая то гарантия, что явные ляпы уже устранены, так как роют там постоянно.

Меня всегда добивали люди, которые говорят, у меня свое ни когда не сломают ибо мое... Только смотришь на то, что они написали... и думаешь, не взломают, только если не будут ломать, а так их код защищен от честных людей не более.

> Уязвимостей нет, там где их не ищут, это я по опыту разработки могу найти

Найдите мне дырку, а лучше две, в каком-нить djbdns.

И не надо защищать непотребство -- есть г, которое остаётся г, сколько его ни лопатят.

Пока на secunia были открытые отчёты, тыкал в подобных случаях носом туда "зашитничков".

А когда не стало?

Толком не заметил, но уж пару лет как, что ли... (перенесли в продажную часть сайта)

Тем временем вышла версия 3.4.8 ...