13 декабря во всех версиях CMS Joomla! была обнаружена критическая уязвимость, позволяющая злоумышленнику, отправив специальным образом сформированный запрос, получить полный контроль над сайтом жертвы и выполнять произвольный php-код. Разработчики CMS Joomla! уже выпустили обновление безопасности для Joomla https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html , которое необходимо установить на все сайты использующие эту CMS. Для устранения угрозы необходимо срочно выполнить следующие действия: Joomla 3.x - достаточно обновиться до версии 3.4.6 через менеджер обновления Joomla (раздел "Компоненты" -> "Обновление Joomla!") Joomla 2.5.x - скачать файл https://github.com/joomla/joomla-cms/releases/download/3.4.6/SessionFix25v1.zip , закачать его на сервер через раздел панели управления "Хостинг" -- "Файл-менеджер" в корневую папку сайта и распаковать в текущую директорию. Joomla 1.5.x - скачать файл https://github.com/joomla/joomla-cms/releases/download/3.4.6/SessionFix15v2.zip , закачать его на сервер через раздел панели управления "Хостинг" -- "Файл-менеджер" в корневую папку сайта и распаковать в текущую директорию.
Обратите внимание- патчи для версий 1.5-2.5 обновили https://github.com/joomla/joomla-cms/releases/download/3.4.7/SessionHardening15v1.zip https://github.com/joomla/joomla-cms/releases/download/3.4.7/SessionHardening25v1.zip
Много где развалилось с 3.4.7 (facepalm) https://github.com/joomla/joomla-cms/issues/8755 https://github.com/joomla/joomla-cms/issues/8756 http://joomla.stackexchange.com/questions/14742/cant-edit-article-after-joomla-3-4-7-update Предлагают перелогинится после обновления.
Обновил больше десятка сайта, ошибок не заметил. Кстати, много времени отнимает ручное обновление, причем на разных хостингах, есть идеи как обновить все и сразу?
Забавно, что форум показывает версию раньше официального анонса --- добавлено: Dec 24, 2015, первое сообщение размещено: Dec 24, 2015 --- SP Stagging http://www.kainotomo.com/products/sp-staging?
Joomla 3.4.8 fixes some issues found in the 3.4.7 release on Monday to do with browser sessions. All reported bugs from the 3.4.7 update have been fixed in this release: https://www.joomla.org/announcements/release-news/5644-joomla-3-4-8-released.html
а давайте сразу с переводами писать. чего они там наобновляли! честно сказать так влом мозги напрягать
А я сходу не могу дословно перевести. Суть - в 3.4.8 пофиксили баги выявленные в 3.4.7. Не релиз безопасности.
Нормальное явление, вышедший фикс исправляет баги предыдущего фикса. Хотя в джумла такое впервые, обычно такое бывает в Битриксе, где, как многие думают, что Битрикс и 1С одна контора и продукты полностью совместимы (и типа самые безопасные)
Ну обновлял Джумла 3.4.6 на локалке, то автоматом закрыло админку. Пришлось снова залогинится. Если кому интересно- вчера нашел разработку. Искать в файлах сайта Код (PHP): $_SERVER['HTTP_SESSION'] и проверку на куку Код (PHP): @$_COOKIE[ --- добавлено: Jan 12, 2016, первое сообщение размещено: Dec 27, 2015 --- У клиента на VPS , PHP 5.3 как модуль Apache,Joomla 1.5.26 ошибка Код (CODE): PHP Notice: Only variable references should be returned by reference in /var/www/viyulcnjg/data/www/woman56.ru/libraries/joomla/session/session.php on line 343 Посмотрел ошибка в объявлении функции , которая возвращает значение, на которое парсер пхп ругается Код (PHP): function &get($name, $default = null, $namespace = 'default') { $namespace = '__'.$namespace; //add prefix to namespace to avoid collisions if($this->_state !== 'active' && $this->_state !== 'expired') { // @TODO :: generated error here $error = null; return $error; } return $this->data->getValue($namespace . '.' . $name, $default); } Удалил & , норма --- добавлено: Jan 13, 2016 --- Проверить sitemap.xml в корне сайта. хакер оставляет свой И проверить в поисковиках свой сайт site:http://site.ru, и владельца сайта в гугл
