Szerző: Gálffy Csaba

2015. december 15. 11:03

Azonnal frissítsünk minden Joomla-telepítést!

Távoli kódfuttatást tesz lehetővé egy, a Joomla-motorban található biztonsági hiba. Gyakorlatilag az összes verzió érintett, a javítást érdemes azonnal telepíteni.

Nyolc éves kritikus hibát javít a Joomla most kiadott frissítése - a rendkívül szűkszavú bejelentés szerint a sebezhetőség a Joomla! CMS összes verziójában megtalálható az 1.5 és a 3.4.5-ös verziószámok között. A javításhoz a 3.4.6-os jelölésű kiadás telepítése javasolt.

A sebezhetőség "magas" súlyossági besorolást kapott, ami a részleteket ismerve teljesen jogos. A motor ugyanis nem szűri megfelelően a böngészőre vonatkozó információkat, így amikor az adatbázisba menti azt, támadhatóvá válik a szerver. Object injection (objektumbeszórás) technikával támadva az adatbázist távoli kódfuttatás érhető el. Ez azt jelenti, hogy egy megfelelően preparált böngészővel (módosított user agent változóval) látogatva meg egy sebezhető Joomla-oldalt, a támadó a szerver fölött átveheti az irányítást és tetszőleges támadó kódot futtathat rajta.

A problémát az teszi különösen súlyossá, hogy a hiba nyilvánosságra került és több száz esetben aktívan használták támadók. A The Register a Sucuri biztonsági szakértőjét, Daniel Cidet idézi: már szombaton tapasztalható volt néhány támadás, mára azonban tömegessé vált. "Ez egy súlyos sebezhetőség, amelyet könnyű kihasználni" - mondja Cid, "a támadó hullámok egyre nagyobbak, gyakorlatilag minden oldalunk és kihelyezett honeypotunk támadás alá került, vagyis valószínűleg minden nyilvános Joomla-oldalt megcéloztak már a támadók."

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x)

Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x) Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

A Joomla mellett szól, hogy a hiba létezéséről december 13-án értesültek a fejlesztők, 14-én pedig el is készült a javítás. Jellemző, hogy a csapat olyan gyorsan lépett, hogy a sebezhetőség még egyedi CVE-azonosítót sem kapott.

A weboldalak üzemeltetőinak az okozhat fejtörést, hogy nem minden Joomla-verzió migrálható könnyen a javított kiadásra. Ebben az esetben ajánlott az oldalt és az adatbázisokat read-only módra állítani, legalábbis addig, amíg a friss verzió telepítése lezongorázható. A régebbi kiadások ugyanis érdemi támogatást már nem kapnak, így érdemes a főverzióváltást mindenképp elvégezni.

Frissítés: az IT Café hívja fel a figyelmet, hogy a támogatását vesztett verziókhoz is kiadta egyedi jelleggel a javítást a Joomla, az 1.5-ös és 2.5-ös kiadáshoz is elérhetőek a foltok.

2021. október 25-én 8 alkalmas, 24 órás online képzést indít a HWSW, mely a világ legnagyobb felhős platformjába nyújt alapos bevezetést, gyakorlatorientált keretek kötött.

a címlapról

feketelista

2

Tovább bombázzák a Honort

2021. október 15. 13:33

Republikánus képviselők szerint a gyártót egyértelműen feketelistára kell tenni.

Hirdetés

Ráléptünk a gázra!

2021. október 16. 02:32

Dübörög a HWSW free! meetupsorozat, októberben modern webfejlesztés és CI/CD témákkal jövünk, de indulnak új online képzéseink is, melyek az AWS, a Kubernetes security, és a microservice architektúra alapjaiba nyújtanak betekintést.