forum.opennet.ru

Составление сообщения

Исходное сообщение

"Новая критическая уязвимость в Joomla использована для совер..."
Отправлено opennews, 14-Дек-15 23:49

Разработчики свободной системы управления web-контентом Joomla опубликовали (https://www.joomla.org/announcements/release-news/5641-jooml...) экстренное обновление 3.4.6, в котором устранена критическая уязвимость (https://developer.joomla.org/security-centre/630-20151214-co...), позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно эксплуатируется (https://blog.sucuri.net/2015/12/remote-command-execution-vul...) злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla.  Всем пользователям Joomla рекомендуется незамедлительно установить обновление и провести полный аудит своих систем.
По  данным (https://blog.sucuri.net/2015/12/remote-command-execution-vul...) компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления.
Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c  определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106.  Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.

<font color="#461b7e">
   2015 Dec 12 16:49:07 clienyhidden.access.log
   Src IP: 74.3.170.33 / CAN / Alberta
   74.3.170.33 - - [12/Dec/2015:16:49:40 -0500] "GET /contact/ HTTP/1.1" 403 5322 "http://google.com/" "}__test|O:21:/x22JDatabaseDriverMysqli/x22:3: ..
   {s:2:/x22fc/x22;O:17:/x22JSimplepieFactory/x22:0: .. {}s:21:/x22/x5C0/x5C0/x5C0disconnectHandlers/x22;a:1:{i:0;a:2:   {i:0;O:9:/x22SimplePie/x22:5:..
   {s:8:/x22sanitize/x22;O:20:/x22JDatabaseDriverMysql/x22:0:{}s:8:/x22feed_url/x22;s:60:..
</font>

URL: https://www.joomla.org/announcements/release-news/5641-jooml...
Новость: http://www.opennet.dev/opennews/art.shtml?num=43521

Исходное сообщение
"Новая критическая уязвимость в Joomla использована для совер..." Отправлено opennews, 14-Дек-15 23:49
Разработчики свободной системы управления web-контентом Joomla опубликовали (https://www.joomla.org/announcements/release-news/5641-jooml...) экстренное обновление 3.4.6, в котором устранена критическая уязвимость (https://developer.joomla.org/security-centre/630-20151214-co...), позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно эксплуатируется (https://blog.sucuri.net/2015/12/remote-command-execution-vul...) злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla. Всем пользователям Joomla рекомендуется незамедлительно установить обновление и провести полный аудит своих систем. По данным (https://blog.sucuri.net/2015/12/remote-command-execution-vul...) компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления. Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками. <font color="#461b7e"> 2015 Dec 12 16:49:07 clienyhidden.access.log Src IP: 74.3.170.33 / CAN / Alberta 74.3.170.33 - - [12/Dec/2015:16:49:40 -0500] "GET /contact/ HTTP/1.1" 403 5322 "http://google.com/" "}__test\|O:21:/x22JDatabaseDriverMysqli/x22:3: .. {s:2:/x22fc/x22;O:17:/x22JSimplepieFactory/x22:0: .. {}s:21:/x22/x5C0/x5C0/x5C0disconnectHandlers/x22;a:1:{i:0;a:2: {i:0;O:9:/x22SimplePie/x22:5:.. {s:8:/x22sanitize/x22;O:20:/x22JDatabaseDriverMysql/x22:0:{}s:8:/x22feed_url/x22;s:60:.. </font> URL: https://www.joomla.org/announcements/release-news/5641-jooml... Новость: http://www.opennet.dev/opennews/art.shtml?num=43521

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Разработчики свободной системы управления web-контентом Joomla опубликовали (https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html) 
> экстренное обновление 3.4.6, в котором устранена критическая уязвимость (https://developer.joomla.org/security-centre/630-20151214-core-remote-code-execution-vulnerability.html), 
> позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что 
> она уже активно эксплуатируется (https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html) 
> злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах 
> под управлением Joomla.  Всем пользователям Joomla рекомендуется незамедлительно установить 
> обновление и провести полный аудит своих систем.

> По  данным (https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html) 
> компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная 
> на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных 
> honeypot-систем, в течение дня на всех из них было зафиксировано более 
> сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать 
> систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, 
> использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала 
> активно эксплуатироваться как минимум за два дня до выхода исправления.

> Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и 
> вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед 
> записью в СУБД. Для атаки достаточно отправить запрос к сайту на 
> базе Joomla c  определённым образом установленным значением User Agent. В 
> качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с 
> IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106.  Признаком атаки также может быть 
> наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" 
> и "O:". Если подобные запросы присутствуют в логе, то можно считать 
> систему поражённой злоумышленниками.

> <font color="#461b7e"> 
>    2015 Dec 12 16:49:07 clienyhidden.access.log 
>    Src IP: 74.3.170.33 / CAN / Alberta 
>    74.3.170.33 - - [12/Dec/2015:16:49:40 -0500] "GET /contact/ HTTP/1.1" 403 
> 5322 "http://google.com/" "}__test|O:21:/x22JDatabaseDriverMysqli/x22:3: .. 
 
>    {s:2:/x22fc/x22;O:17:/x22JSimplepieFactory/x22:0: .. {}s:21:/x22/x5C0/x5C0/x5C0disconnectHandlers/x22;a:1:{i:0;a:2: 
>   {i:0;O:9:/x22SimplePie/x22:5:..
>    {s:8:/x22sanitize/x22;O:20:/x22JDatabaseDriverMysql/x22:0:{}s:8:/x22feed_url/x22;s:60:.. 
 
> </font>

> URL: https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html 
 
> Новость: http://www.opennet.dev/opennews/art.shtml?num=43521

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру