Szerző: Hlács Ferenc

2015. október 26. 15:08

Két éve tátongó Joomla-sebezhetőséget foltoztak be

Több millió weboldalt sodorhat veszélybe a Joomla egy nemrég felfedezett sérülékenysége. A népszerű nyílt forrású tartalomkezelő sebezhetősége az SQL-injection támadásra ad lehetőséget - a vállalat már kiadta a javítást tartalmazó legfrissebb verziót.

Kritikus sebezhetőség fenyegeti a nyílt forrású Joomla tartalomkezelő rendszer felhasználóit: az online kereskedők körében népszerű termékben nemrég felfedezett biztonsági rés SQL-injection támadásra ad lehetőséget. A Joomlát jelenleg mintegy 2,8 millió weboldal használja világszerte, amelyek jelentős részét csaknem két éve veszélyezteti a nemrég felfedezett sérülékenység.

A hibára, amelyet két további kapcsolódó biztonsági réssel párosítva támadók akár adminisztrátori jogosultságokat is szerezhetnek, a Trustwave biztonsági cég bukkant rá. A sebezhetőség a szoftver 3.2-től 3.4.4-ig terjedő verzióiban jelent veszélyt - a vállalat már kiadta a javítást tartalmazó 3.4.5-ös változatot, ezt az érintetteknek ajánlott haladéktalanul telepíteni. A helyzeten az sem javít, hogy a szóban forgó biztonsági hiba a szoftver központi moduljában található, így az összes, az érintett verziószámú Joomlát használó weboldalt érinti függetlenül attól, milyen kiegészítőket használ.

Repülésbiztonság és innováció a HungaroControl fókuszában (x)

Technológiai infrastruktúrában és szakmai kompetenciában is a régió egyik legfejlettebb léginavigációs szolgáltatója a HungaroControl.

Repülésbiztonság és innováció a HungaroControl fókuszában (x) Technológiai infrastruktúrában és szakmai kompetenciában is a régió egyik legfejlettebb léginavigációs szolgáltatója a HungaroControl.

Az SQL-injection a weboldalakkal szemben használt egyik leggyakoribb támadási módszer, amelyet a támadók jellemzően az adott oldal valamelyik beviteli mezőjén keresztül használnak ki, mint például a keresődobozok. A sérülékeny oldalaknál ezen felületek valamelyikén lehetőség van olyan karaktersorok megadására, amelyeket a weboldal mögött álló backend adatbázis parancsként kezel.

Ahogy arra az Ars Technica is rámutat, már elérhető a hibás Joomla-verziókat kihasználó példakód, amelyhez bárki hozzáférhet - ez különösen indokolttá teszi a mielőbbi frissítést. Maga a sebezhetőség egyébként egy adott rendszergazdához csatolt, böngészős cookie-t tartalmazó munkamenet-azonosítót használ ki. A támadók lényegében a szóban forgó cookie-t adják hozzá saját böngészőjükhöz, így kiterjedt hozzáféréshez jutva az adott szerveren. A hiba kihasználását ugyanakkor megnehezíti, hogy a fenti művelet csak akkor vihető végbe, ha a célba vett oldalon épp akad bejelentkezett adminisztrátor.

a címlapról

money

9

Mire költ egy kiberbűnöző?

2025. május 30. 10:30

Lamborghini? Kacsalábon forgó palota? Bitcoin? Kutyakozmetika? Ebben a weeklyben az illegálisan megszerzett vagyon nyomába eredünk.