URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 109483
[ Назад ]
Исходное сообщение
"Критические уязвимости в системе управления контентом Joomla"
Отправлено opennews , 26-Окт-16 10:33 
Разработчики свободной системы управления web-контентом Joomla опубликовали (https://www.joomla.org/announcements/release-news/5678-jooml...) экстренное обновление 3.6.4, в котором устранены две уязвимости, которым присвоен наивысший уровень опасности. Первая уязвимость (https://developer.joomla.org/security-centre/659-20161001-co...) (CVE-2016-8870 (https://security-tracker.debian.org/tracker/CVE-2016-8870)) позволяет зарегистрировать на сайте новую учётную запись, даже если регистрация новых пользователей запрещена в настройках. Вторая уязвимость (https://developer.joomla.org/security-centre/660-20161002-co...) (CVE-2016-8869 (https://security-tracker.debian.org/tracker/CVE-2016-8869)) позволяет любому внешнему посетителю создать нового пользователя и добавить его в любую группу доступа, в том числе передать ему права администратора. Проблемы проявляются в Joomla, начиная с выпуска 3.4.4, и вызваны (https://github.com/joomla/joomla-cms/commit/bae1d43938c87848...) оставлением в коде доступного для внешних обращений и не требующего аутентификации обработчика для регистрации новых пользователей.

URL: https://www.joomla.org/announcements/release-news/5678-jooml...
Новость: http://www.opennet.me/opennews/art.shtml?num=45374

Содержание
Сообщения в этом обсуждении
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Аноним , 26-Окт-16 10:33 
Судя по изменениям в версии 3.6.4 это не уязвимость, а явный бэкдор.
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Аноним , 26-Окт-16 10:36 
Знаешь, у именно вебмакак это таки может быть и уязвимость. Такого в любой вебне сплошь и рядом, совершенно без злого умысла. Просто от вебни тупеют.
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Наноним , 26-Окт-16 11:34 
и, таки, Вы пользуетесь вебней? Срочно рвите соединение! Иначе совсем превратитесь в макаку(без префикса "веб").
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Аноним , 26-Окт-16 13:57 
> и, таки, Вы пользуетесь вебней? Срочно рвите соединение! Иначе совсем превратитесь в
> макаку(без префикса "веб").

А вот видные мемберы класса подтянулись, так сказать.

"Критические уязвимости в системе управления контентом Joomla"
Отправлено AlexAT , 26-Окт-16 17:05 
Судя по эпичности дыр - это джумла...
"Критические уязвимости в системе управления контентом Joomla"
Отправлено vitalif , 26-Окт-16 10:47 
Они там когда-нибудь кончатся?
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Аноним , 26-Окт-16 10:52 
Joomla 1.5 подвержена уязвимости?
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Аноним , 26-Окт-16 11:31 
новость не читай, тупые вопросы задавай
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Ilya Indigo , 26-Окт-16 18:38 
Нет. С ней всё в порядке.
"Критические уязвимости в системе управления контентом Joomla"
Отправлено А , 26-Окт-16 11:43 
Устранили _целых_ две, или _всего_ две? )
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Andrey Mitrofanov , 26-Окт-16 11:50 
> Устранили _целых_ две, или _всего_ две? )

Думаешь, они те две набирали из ку-у-учи маленьких и _нецелых_? Однако!!

"Критические уязвимости в системе управления контентом Joomla"
Отправлено Аноним Анонимович Анонимов , 26-Окт-16 11:51 
>Joomla
>Критические уязвимости
>2016

Неужели по сей день есть адепты? Это как говорят в местах не столь отдалённых — зашквар.

"Критические уязвимости в системе управления контентом Joomla"
Отправлено MMx , 26-Окт-16 12:00 
Да когда эта поделка уже загнётся. Позорнее php поделку ещё поискать.
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Michael Shigorin , 26-Окт-16 13:29 
> Да когда эта поделка уже загнётся. Позорнее php поделку ещё поискать.

Ну почему, когда-то phpNuke давала жару.  Одного поля ягоды, сколько лет уж говорю, молодёшш порой искренне обижается, а в жумле это не лечится на уровне проекта и команды...

Сравните:
http://www.opennet.me/openforum/vsluhforumID3/73925.html#35
http://www.opennet.me/openforum/vsluhforumID3/81531.html#98

"Критические уязвимости в системе управления контентом Joomla"
Отправлено Аноним , 26-Окт-16 23:17 
А что посоветуете вместо PHP?
"Критические уязвимости в системе управления контентом Joomla"
Отправлено a , 27-Окт-16 20:10 
очевидный python
"Критические уязвимости в системе управления контентом Joomla"
Отправлено omnomnin , 26-Окт-16 13:25 
пипец,
они доиграются что хостеры их поделку будут банить сразу в договоре
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Georges , 26-Окт-16 14:35 
увы, слишком популярна
"Критические уязвимости в системе управления контентом Joomla"
Отправлено scorry , 28-Окт-16 10:38 
А хостерам-то что за печаль? Каким образом юзер данные свои просрёт, что ли, или трафика накачает на свои же юзерские деньги? Пфэ.
"Критические уязвимости в системе управления контентом Joomla"
Отправлено anomymous , 28-Окт-16 21:12 
> А хостерам-то что за печаль? Каким образом юзер данные свои просрёт, что
> ли, или трафика накачает на свои же юзерские деньги? Пфэ.

Хостерам печаль, когда эти поделки превращаются в куски бот-сети, и начинают получать-рассылать сотни и тысячи запросов в секунду.

"Критические уязвимости в системе управления контентом Joomla"
Отправлено scorry , 30-Окт-16 20:55 
>> А хостерам-то что за печаль? Каким образом юзер данные свои просрёт, что
>> ли, или трафика накачает на свои же юзерские деньги? Пфэ.
> Хостерам печаль, когда эти поделки превращаются в куски бот-сети, и начинают получать-рассылать
> сотни и тысячи запросов в секунду.

Согласен. С такого угла зрения — да.

"Критические уязвимости в системе управления контентом Joomla"
Отправлено Аноним , 26-Окт-16 13:30 
собака лает - караван идет
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Michael Shigorin , 26-Окт-16 13:33 
> собака лает - караван идет

"и никто
не хочет и думать о том,
пока
титаник плывёт..."

"Критические уязвимости в системе управления контентом Joomla"
Отправлено YetAnotherOnanym , 26-Окт-16 19:08 
> люди плюются - мухи кружатся

Fixed

"Критические уязвимости в системе управления контентом Joomla"
Отправлено th3m3 , 26-Окт-16 14:45 
Её кто-то ещё использует?
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Аноним , 26-Окт-16 18:02 
Спасибо обновились. А есть ли возможность получения оповещения об уязвимости по почте?
"Критические уязвимости в системе управления контентом Joomla"
Отправлено Michael Shigorin , 26-Окт-16 18:09 
> А есть ли возможность получения оповещения об уязвимости по почте?

А у них что, ещё и анонсовой рассылки по новым выпускам нету?!

"Критические уязвимости в системе управления контентом Joomla"
Отправлено A.Stahl , 26-Окт-16 21:03 
>А есть ли возможность получения оповещения об уязвимости по почте?

Конечно есть. Дай мне рутовый доступ к твоему почтовому серверу и я буду тебя уведомлять в случае появления очередной уязвимости.

"Критические уязвимости в системе управления контентом Joomla"
Отправлено atmega644 , 27-Окт-16 05:52 
https://vulners.com/search?query=joomla%20order:published
"Критические уязвимости в системе управления контентом Joomla"
Отправлено isox , 27-Окт-16 12:13 
Идешь вот сюда: https://vulners.com/#subscriptions
Делаешь подписку по email на запрос  

type:joomla%20order:published

Получаешь email, если появилось что-то новое.