2015. október 26. 15:08

Két éve tátongó Joomla-sebezhetőséget foltoztak be

Több millió weboldalt sodorhat veszélybe a Joomla egy nemrég felfedezett sérülékenysége. A népszerű nyílt forrású tartalomkezelő sebezhetősége az SQL-injection támadásra ad lehetőséget - a vállalat már kiadta a javítást tartalmazó legfrissebb verziót.

Kritikus sebezhetőség fenyegeti a nyílt forrású Joomla tartalomkezelő rendszer felhasználóit: az online kereskedők körében népszerű termékben nemrég felfedezett biztonsági rés SQL-injection támadásra ad lehetőséget. A Joomlát jelenleg mintegy 2,8 millió weboldal használja világszerte, amelyek jelentős részét csaknem két éve veszélyezteti a nemrég felfedezett sérülékenység.

A hibára, amelyet két további kapcsolódó biztonsági réssel párosítva támadók akár adminisztrátori jogosultságokat is szerezhetnek, a Trustwave biztonsági cég bukkant rá. A sebezhetőség a szoftver 3.2-től 3.4.4-ig terjedő verzióiban jelent veszélyt - a vállalat már kiadta a javítást tartalmazó 3.4.5-ös változatot, ezt az érintetteknek ajánlott haladéktalanul telepíteni. A helyzeten az sem javít, hogy a szóban forgó biztonsági hiba a szoftver központi moduljában található, így az összes, az érintett verziószámú Joomlát használó weboldalt érinti függetlenül attól, milyen kiegészítőket használ.

Budapesten nyitott új irodát az HTEC (x)

A globális piacon tervezési és mérnöki szolgáltatásokat nyújtó, AI-first szemléletű HTEC Budapesten nyitotta meg új irodáját.

Budapesten nyitott új irodát az HTEC (x) A globális piacon tervezési és mérnöki szolgáltatásokat nyújtó, AI-first szemléletű HTEC Budapesten nyitotta meg új irodáját.

Az SQL-injection a weboldalakkal szemben használt egyik leggyakoribb támadási módszer, amelyet a támadók jellemzően az adott oldal valamelyik beviteli mezőjén keresztül használnak ki, mint például a keresődobozok. A sérülékeny oldalaknál ezen felületek valamelyikén lehetőség van olyan karaktersorok megadására, amelyeket a weboldal mögött álló backend adatbázis parancsként kezel.

Ahogy arra az Ars Technica is rámutat, már elérhető a hibás Joomla-verziókat kihasználó példakód, amelyhez bárki hozzáférhet - ez különösen indokolttá teszi a mielőbbi frissítést. Maga a sebezhetőség egyébként egy adott rendszergazdához csatolt, böngészős cookie-t tartalmazó munkamenet-azonosítót használ ki. A támadók lényegében a szóban forgó cookie-t adják hozzá saját böngészőjükhöz, így kiterjedt hozzáféréshez jutva az adott szerveren. A hiba kihasználását ugyanakkor megnehezíti, hogy a fenti művelet csak akkor vihető végbe, ha a célba vett oldalon épp akad bejelentkezett adminisztrátor.

Két éve tátongó Joomla-sebezhetőséget foltoztak be

Több millió weboldalt sodorhat veszélybe a Joomla egy nemrég felfedezett sérülékenysége. A népszerű nyílt forrású tartalomkezelő sebezhetősége az SQL-injection támadásra ad lehetőséget - a vállalat már kiadta a javítást tartalmazó legfrissebb verziót.

Budapesten nyitott új irodát az HTEC (x)

Furcsa feltételekkel terjeszthető ki a Windows 10 támogatása

Felemás győzelmet aratott az Anthropic a szerzők ellen

Nagyot guríthat a T-Mobile Musk műholdjaival

Két éve tátongó Joomla-sebezhetőséget foltoztak be

Több millió weboldalt sodorhat veszélybe a Joomla egy nemrég felfedezett sérülékenysége. A népszerű nyílt forrású tartalomkezelő sebezhetősége az SQL-injection támadásra ad lehetőséget - a vállalat már kiadta a javítást tartalmazó legfrissebb verziót.

Budapesten nyitott új irodát az HTEC (x)

Furcsa feltételekkel terjeszthető ki a Windows 10 támogatása

Felemás győzelmet aratott az Anthropic a szerzők ellen

Nagyot guríthat a T-Mobile Musk műholdjaival

Jöhet az állami üzenetküldő alkalmazás Oroszországban

Budapesten nyitott új irodát az HTEC

Kiradírozták a netről Altman és Ive közös cégének nyomait

Jöhet az állami üzenetküldő alkalmazás Oroszországban

Kiradírozták a netről Altman és Ive közös cégének nyomait

Elsőként a marketingesek hullhatnak az Intelnél