CMS Joomla - важное обновление безопасности

13 декабря во всех версиях CMS Joomla! была обнаружена критическая уязвимость, позволяющая злоумышленнику, отправив специальным образом сформированный запрос, получить полный контроль над сайтом жертвы и выполнять произвольный php-код.

Разработчики CMS Joomla! уже выпустили обновление безопасности для Joomla https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html , которое необходимо установить на все сайты использующие эту CMS.

Для устранения угрозы необходимо срочно выполнить следующие действия:

Joomla 3.x - достаточно обновиться до версии 3.4.6 через менеджер обновления Joomla (раздел "Компоненты" -> "Обновление Joomla!")

Joomla 2.5.x - скачать файл https://github.com/joomla/joomla-cms/releases/download/3.4.6/SessionFix25v1.zip , закачать его на сервер через раздел панели управления "Хостинг" -- "Файл-менеджер" в корневую папку сайта и распаковать в текущую директорию.

Joomla 1.5.x - скачать файл https://github.com/joomla/joomla-cms/releases/download/3.4.6/SessionFix15v2.zip , закачать его на сервер через раздел панели управления "Хостинг" -- "Файл-менеджер" в корневую папку сайта и распаковать в текущую директорию.

 

ЗдОрово, что не забыли старые версии

 

3.4.7 http://joom.la/24i

 

Обратите внимание- патчи для версий 1.5-2.5 обновили
https://github.com/joomla/joomla-cms/releases/download/3.4.7/SessionHardening15v1.zip
https://github.com/joomla/joomla-cms/releases/download/3.4.7/SessionHardening25v1.zip

 

Много где развалилось с 3.4.7 (facepalm)
https://github.com/joomla/joomla-cms/issues/8755
https://github.com/joomla/joomla-cms/issues/8756
http://joomla.stackexchange.com/questions/14742/cant-edit-article-after-joomla-3-4-7-update

Предлагают перелогинится после обновления.

 

Да и кеш желательно почистить

 

CLI как бы есть... но пилить наверное нужно.

 

Забавно, что форум показывает версию раньше официального анонса

--- добавлено: 24.12.2015, первое сообщение размещено: 24.12.2015 ---

SP Stagging http://www.kainotomo.com/products/sp-staging?

 

Joomla 3.4.8 fixes some issues found in the 3.4.7 release on Monday to do with browser sessions. All reported bugs from the 3.4.7 update have been fixed in this release:
https://www.joomla.org/announcements/release-news/5644-joomla-3-4-8-released.html

 

а давайте сразу с переводами писать. чего они там наобновляли!
честно сказать так влом мозги напрягать

 

А я сходу не могу дословно перевести. Суть - в 3.4.8 пофиксили баги выявленные в 3.4.7. Не релиз безопасности.

 

Перебздели?

 

пофиксили одни баги - наделали других ((((((

 

Ну обновлял Джумла 3.4.6 на локалке, то автоматом закрыло админку. Пришлось снова залогинится.
Если кому интересно- вчера нашел разработку.
Искать в файлах сайта

Код (PHP):

1. $_SERVER['HTTP_SESSION']

и проверку на куку

Код (PHP):

1. @$_COOKIE[

--- добавлено: 12.01.2016, первое сообщение размещено: 27.12.2015 ---

У клиента на VPS , PHP 5.3 как модуль Apache,Joomla 1.5.26 ошибка

Код (CODE):

1. PHP Notice:  Only variable references should be returned by reference in /var/www/viyulcnjg/data/www/woman56.ru/libraries/joomla/session/session.php on line 343

Посмотрел ошибка в объявлении функции , которая возвращает значение, на которое парсер пхп ругается

Код (PHP):

1. function &get($name, $default = null, $namespace = 'default')
2.     {
3.         $namespace = '__'.$namespace; //add prefix to namespace to avoid collisions
4.  
5.         if($this->_state !== 'active' && $this->_state !== 'expired') {
6.             // @TODO :: generated error here
7.             $error = null;
8.             return $error;
9.         }
10.  
11.         return $this->data->getValue($namespace . '.' . $name, $default);
12.     }

Удалил & , норма

--- добавлено: 13.01.2016 ---

Проверить sitemap.xml в корне сайта. хакер оставляет свой
И проверить в поисковиках свой сайт site:http://site.ru, и владельца сайта в гугл