Szerző: Hlács Ferenc

2015. október 26. 15:08

Két éve tátongó Joomla-sebezhetőséget foltoztak be

Több millió weboldalt sodorhat veszélybe a Joomla egy nemrég felfedezett sérülékenysége. A népszerű nyílt forrású tartalomkezelő sebezhetősége az SQL-injection támadásra ad lehetőséget - a vállalat már kiadta a javítást tartalmazó legfrissebb verziót.

Kritikus sebezhetőség fenyegeti a nyílt forrású Joomla tartalomkezelő rendszer felhasználóit: az online kereskedők körében népszerű termékben nemrég felfedezett biztonsági rés SQL-injection támadásra ad lehetőséget. A Joomlát jelenleg mintegy 2,8 millió weboldal használja világszerte, amelyek jelentős részét csaknem két éve veszélyezteti a nemrég felfedezett sérülékenység.

A hibára, amelyet két további kapcsolódó biztonsági réssel párosítva támadók akár adminisztrátori jogosultságokat is szerezhetnek, a Trustwave biztonsági cég bukkant rá. A sebezhetőség a szoftver 3.2-től 3.4.4-ig terjedő verzióiban jelent veszélyt - a vállalat már kiadta a javítást tartalmazó 3.4.5-ös változatot, ezt az érintetteknek ajánlott haladéktalanul telepíteni. A helyzeten az sem javít, hogy a szóban forgó biztonsági hiba a szoftver központi moduljában található, így az összes, az érintett verziószámú Joomlát használó weboldalt érinti függetlenül attól, milyen kiegészítőket használ.

Hány adag sültkrumplit bír el 25 Kubernetes klaszter? (x)

Globálisan napi akár 2,5 millió rendeléssel is megbirkóznak az RDI Hungary által fejlesztett háttérrendszerek és mobilalkalmazások.

Hány adag sültkrumplit bír el 25 Kubernetes klaszter? (x) Globálisan napi akár 2,5 millió rendeléssel is megbirkóznak az RDI Hungary által fejlesztett háttérrendszerek és mobilalkalmazások.

Az SQL-injection a weboldalakkal szemben használt egyik leggyakoribb támadási módszer, amelyet a támadók jellemzően az adott oldal valamelyik beviteli mezőjén keresztül használnak ki, mint például a keresődobozok. A sérülékeny oldalaknál ezen felületek valamelyikén lehetőség van olyan karaktersorok megadására, amelyeket a weboldal mögött álló backend adatbázis parancsként kezel.

Ahogy arra az Ars Technica is rámutat, már elérhető a hibás Joomla-verziókat kihasználó példakód, amelyhez bárki hozzáférhet - ez különösen indokolttá teszi a mielőbbi frissítést. Maga a sebezhetőség egyébként egy adott rendszergazdához csatolt, böngészős cookie-t tartalmazó munkamenet-azonosítót használ ki. A támadók lényegében a szóban forgó cookie-t adják hozzá saját böngészőjükhöz, így kiterjedt hozzáféréshez jutva az adott szerveren. A hiba kihasználását ugyanakkor megnehezíti, hogy a fenti művelet csak akkor vihető végbe, ha a célba vett oldalon épp akad bejelentkezett adminisztrátor.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról