The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Новая критическая уязвимость в Joomla использована для совер..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от opennews on 14-Дек-15, 23:49 
Разработчики свободной системы управления web-контентом Joomla опубликовали (https://www.joomla.org/announcements/release-news/5641-jooml...) экстренное обновление 3.4.6, в котором устранена критическая уязвимость (https://developer.joomla.org/security-centre/630-20151214-co...), позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно эксплуатируется (https://blog.sucuri.net/2015/12/remote-command-execution-vul...) злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla.  Всем пользователям Joomla рекомендуется незамедлительно установить обновление и провести полный аудит своих систем.

По  данным (https://blog.sucuri.net/2015/12/remote-command-execution-vul...) компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления.

Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c  определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106.  Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.


<font color="#461b7e">
   2015 Dec 12 16:49:07 clienyhidden.access.log
   Src IP: 74.3.170.33 / CAN / Alberta
   74.3.170.33 - - [12/Dec/2015:16:49:40 -0500] "GET /contact/ HTTP/1.1" 403 5322 "http://google.com/" "}__test|O:21:/x22JDatabaseDriverMysqli/x22:3: ..
   {s:2:/x22fc/x22;O:17:/x22JSimplepieFactory/x22:0: .. {}s:21:/x22/x5C0/x5C0/x5C0disconnectHandlers/x22;a:1:{i:0;a:2:   {i:0;O:9:/x22SimplePie/x22:5:..
   {s:8:/x22sanitize/x22;O:20:/x22JDatabaseDriverMysql/x22:0:{}s:8:/x22feed_url/x22;s:60:..
</font>


URL: https://www.joomla.org/announcements/release-news/5641-jooml...
Новость: http://www.opennet.dev/opennews/art.shtml?num=43521

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Новая критическая уязвимость в Joomla использована для совер..."  +18 +/
Сообщение от VecH email(ok) on 14-Дек-15, 23:51 
Новость прочитал на одном дыхании как какой то боевик
хорошо что ничего с Joomla меня не связывает, хотя это была одна из первых CMS с которой я знакомился
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Новая критическая уязвимость в Joomla использована для совер..."  –2 +/
Сообщение от Ilya Indigo (ok) on 15-Дек-15, 00:04 
И как это в 1.5.26 исправить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Новая критическая уязвимость в Joomla использована для совер..."  +2 +/
Сообщение от Аноним (??) on 15-Дек-15, 00:14 
https://github.com/PhilETaylor/Joomla1.5.999/commit/95741d8a...

@@ -697,39 +697,27 @@ function _validate( $restart = false )
            }
        }

-        // record proxy forwarded for in the session in case we need it later
-        if( isset( $_SERVER['HTTP_X_FORWARDED_FOR'] ) ) {
-            $this->set( 'session.client.forwarded', $_SERVER['HTTP_X_FORWARDED_FOR']);
-        }
-
-        // check for client adress
-        if( in_array( 'fix_adress', $this->_security ) && isset( $_SERVER['REMOTE_ADDR'] ) )
+        // Check for client address
+        if(in_array('fix_adress', $this->_security) && isset($_SERVER['REMOTE_ADDR']) && filter_var($_SERVER['REMOTE_ADDR'], FILTER_VALIDATE_IP) !== false)
        {
-            $ip    = $this->get( 'session.client.address' );
+            $ip = $this->get('session.client.address');

-            if( $ip === null ) {
-                $this->set( 'session.client.address', $_SERVER['REMOTE_ADDR'] );
+            if($ip === null)
+            {
+                $this->set('session.client.address', $_SERVER['REMOTE_ADDR']);
            }
-            else if( $_SERVER['REMOTE_ADDR'] !== $ip )
+            elseif($_SERVER['REMOTE_ADDR'] !== $ip)
            {
-                $this->_state    =    'error';
+                $this->_state = 'error';
+
                return false;
            }
        }

-        // check for clients browser
-        if( in_array( 'fix_browser', $this->_security ) && isset( $_SERVER['HTTP_USER_AGENT'] ) )
+        // Record proxy forwarded for in the session in case we need it later
+        if(isset($_SERVER['HTTP_X_FORWARDED_FOR']) && filter_var($_SERVER['HTTP_X_FORWARDED_FOR'], FILTER_VALIDATE_IP) !== false)
        {
-            $browser = $this->get( 'session.client.browser' );
-
-            if( $browser === null ) {
-                $this->set( 'session.client.browser', $_SERVER['HTTP_USER_AGENT']);
-            }
-            else if( $_SERVER['HTTP_USER_AGENT'] !== $browser )
-            {
-//                $this->_state    =    'error';
-//                return false;
-            }
+            $this->set('session.client.forwarded', $_SERVER['HTTP_X_FORWARDED_FOR']);
        }

        return true;

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Новая критическая уязвимость в Joomla использована для совер..."  +1 +/
Сообщение от Аноним (??) on 15-Дек-15, 00:22 
> + $this->set('session.client.forwarded', $_SERVER['HTTP_X_FORWARDED_FOR']);

Ух ты! Судя по всему починив дыру с HTTP_USER_AGENT они тут же посадили точно такую же дыру, но с HTTP_X_FORWARDED_FOR. Правим эксплоит на передачу атакующего кода через HTTP-заголовок X-Forwarded-For и имеем новый 0-day.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от freehck email(ok) on 15-Дек-15, 00:52 
Вряд ли. Десятью строчками выше у них стоит filter_var, с параметрами намекающими на валидацию поля.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Новая критическая уязвимость в Joomla использована для совер..."  +4 +/
Сообщение от Аноним (??) on 15-Дек-15, 03:27 
Зато сколько бесполезных +/- по части whitespace... Погромисты на пхп - такие погромисты :)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от Ilya Indigo (ok) on 15-Дек-15, 01:24 
Благодарю.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

28. "Новая критическая уязвимость в Joomla использована для совер..."  –16 +/
Сообщение от Аноним email(??) on 15-Дек-15, 09:15 
обновится до последней версии или закрыть доступ из вне.
а лучше перенести сайт на bitrix например
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

33. "Новая критическая уязвимость в Joomla использована для совер..."  +9 +/
Сообщение от 123 (??) on 15-Дек-15, 09:47 
да-да, где на файлы кидают 777.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

5. "Новая критическая уязвимость в Joomla использована для совер..."  +2 +/
Сообщение от Аноним (??) on 15-Дек-15, 00:06 
whois 146.0.72.83
address:        Tussen de Bogen 6, 1013 JB Amsterdam, The Netherlands
OrgName:        RIPE Network Coordination Centre

whois 74.3.170.33 | grep address
OrgName:        Shaw Telecom G.P.

whois 194.28.174.106 | grep address
org-name:       ON-LINE Ltd
address:        21029, Ukraine, Vinnitsa Khmelnytske shose str 112-A

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

65. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 15-Дек-15, 21:10 
> whois

whob :) (lft)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Новая критическая уязвимость в Joomla использована для совер..."  +2 +/
Сообщение от th3m3 (ok) on 15-Дек-15, 00:07 
Я для прикола пишу в кодах сайтов, что это Joomla. Потом столько весёлых действий в логах ;)

И ведь находятся индивидуумы, которые ещё этим говнокодов на php пользуются.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от joomlasenior on 15-Дек-15, 00:11 
чем же прикажете пользоваться кроме как не им?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "Новая критическая уязвимость в Joomla использована для совер..."  –4 +/
Сообщение от Аноним (??) on 15-Дек-15, 01:28 
Я уж совсем не программист, но свои визитки-хелловорлды делал на друпале, т к чуть быстрее и чуть безопаснее.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

29. "Новая критическая уязвимость в Joomla использована для совер..."  –14 +/
Сообщение от Аноним email(??) on 15-Дек-15, 09:17 
на bitrix
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

61. "Новая критическая уязвимость в Joomla использована для совер..."  +3 +/
Сообщение от Аноним (??) on 15-Дек-15, 18:57 
блин, более бессмысленного гогна чем этот твой битрикс походу вообще не существует.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

64. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от . on 15-Дек-15, 20:09 
Ты просто пессимист! Нет предела совершенству! :)))
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

66. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Michael Shigorin email(ok) on 15-Дек-15, 21:13 
> чем же прикажете пользоваться кроме как не им?

Да почти чем угодно -- жумла по характеру дыр в ней и головах разработчиков сопоставима разве что с тем ещё phpNuke.

Тут как-то приходил человек, который угробил немало времени и сил на попытки данное положение дел исправить.  Пришёл к выводу, что не лечится, и покинул проект.

Из примерно той же категории уже названный Drupal, из более мощных систем тоже на PHP -- TYPO3.  Оба неидеальны, но ни в какое сравнение с жумловыми проблемы их эксплуатации не идут.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от dlazerka (ok) on 15-Дек-15, 00:20 
Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую, без прослойки, которая подставляет+чистит данные?

Я думал уже давно все делают через шаблоны, типа "INSERT INTO test({foo}, {bar})"
а потом дальше в коде говоришь возьми вот этот шаблон, и подставь туда вместо {foo} вот это значени, вместо {bar} вот это.
В JDBC это по-моему с рождения было. А сегодня декабрь 2015-го.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Новая критическая уязвимость в Joomla использована для совер..."  +1 +/
Сообщение от Аноним (??) on 15-Дек-15, 03:17 
кто-кто, похапешники
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

20. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от dlazerka (ok) on 15-Дек-15, 03:51 
> кто-кто, похапешники

Ну я сам писал на пехапе года 3, 8 лет назад. Но уже тогда использовал какую-то либку (может сам написал, не помню) через которую шли все 100% моих SQL запросов.

Мне кажется это больше говорит о программистах, чем о языке. Тяжёлый недуг -- PHP рук. Слава богу, евросоюз недавно принял законы обязывающие многие IT компании серьёзнее относиться к безопасности. Ну у нас зарплаты вырастут, как следствие.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

32. "Новая критическая уязвимость в Joomla использована для совер..."  +2 +/
Сообщение от Аноним (??) on 15-Дек-15, 09:27 
> Тяжёлый недуг -- PHP рук.

Ненене, PHP не в клозетах, а в головах.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Новая критическая уязвимость в Joomla использована для совер..."  +1 +/
Сообщение от АнонимУася on 15-Дек-15, 08:03 
ППЦ, на чем можешь написать ты что нибудь серьезное?
А по делу - различных орм, всяких разных, больших и маленьких, тысячи их. На крайний случай есть PDO, в котором можно забиндить значения или переменные. И язык не виноват, что используется для быстрого создания мелких страниц, сайтов и приложений, и благодаря чему в него приходят уроды халявщики.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

49. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от dlazerka (ok) on 15-Дек-15, 11:41 
> ППЦ, на чем можешь написать ты что нибудь серьезное?
> А по делу - различных орм, всяких разных, больших и маленьких, тысячи
> их. На крайний случай есть PDO, в котором можно забиндить значения
> или переменные. И язык не виноват, что используется для быстрого создания
> мелких страниц, сайтов и приложений, и благодаря чему в него приходят
> уроды халявщики.

Согласен. Хотя язык всё же виноват, за то что он привлекает "уродов халявщиков". Точно так же как Scala виновата в том, что привлекает эгоистичных самодуров, которые поганят хороший язык операторами вроде :=++ или implicit-ами из которых потом не пойми откуда пуля прилетает прямо в ногу. Пускай бы шли обратно в свой любимый идеальный Lisp.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним email(??) on 15-Дек-15, 09:21 
https://docs.joomla.org/Inserting,_Updating_and_Removing_dat...

все там есть
только не все пользуются.

в вашем любимом языке X - тоже можно напрямую делать запросы, без фильтрации данных.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Новая критическая уязвимость в Joomla использована для совер..."  –2 +/
Сообщение от Отражение луны (ok) on 15-Дек-15, 04:41 
Кто-то в 2015 году использует ненужные тормозные прослойки? Мои соболезнования. Вы не далеко ушли от этой самой джумлы.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

22. "Новая критическая уязвимость в Joomla использована для совер..."  +2 +/
Сообщение от 10й Брейтовский переулок on 15-Дек-15, 06:03 
"PHP головного мозга" детектит.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

36. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от dlazerka (ok) on 15-Дек-15, 10:23 
> Кто-то в 2015 году использует ненужные тормозные прослойки?

А вы как эскейпите SQL параметры?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

37. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 15-Дек-15, 10:40 
Никак. Нормальные люди юзают подготовленные выражения.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от angra (ok) on 15-Дек-15, 10:48 
Титеретик? Был бы у тебя практический опыт, ты бы знал, что они не работают для достаточно большого количества реальных запросов в БД и вообще зависят от используемой БД.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

44. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от dlazerka (ok) on 15-Дек-15, 11:25 
> Титеретик? Был бы у тебя практический опыт, ты бы знал, что они
> не работают для достаточно большого количества реальных запросов в БД и
> вообще зависят от используемой БД.

Не могу говорить за предыдущего участника, но я вот практик, и что-то не помню таких случаев. Давно SQL не занимался правда. Приведите примеров пару, реально интересно.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

48. "Новая критическая уязвимость в Joomla использована для совер..."  +1 +/
Сообщение от angra (ok) on 15-Дек-15, 11:34 
Самый простой пример - имена полей и таблиц в большинстве БД не попадают под возможности prepared statement. Смотря на другие ваши комментарии, заострю внимание именно на возможностях самих БД, а не оберток типа DBI или JDBC, которые могут предоставить псевдо prepared statement за счет манипуляций со строками.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

50. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от Аноним (??) on 15-Дек-15, 11:54 
Добавлять поля в таблицы в realtime это уже не от php а от mysql наверное :)
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

54. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от dlazerka (ok) on 15-Дек-15, 12:05 
> Добавлять поля в таблицы в realtime это уже не от php а
> от mysql наверное :)

Он имеет ввиду не добавлять, а выбирать:
SELECT "<someDynamicColumn>", <if someCondition()>AVG(price)</if> FROM <dynamicTableName>...

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

53. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от dlazerka (ok) on 15-Дек-15, 12:02 
> Самый простой пример - имена полей и таблиц в большинстве БД не
> попадают под возможности prepared statement. Смотря на другие ваши комментарии, заострю
> внимание именно на возможностях самих БД, а не оберток типа DBI
> или JDBC, которые могут предоставить псевдо prepared statement за счет манипуляций
> со строками.

Точно, спасибо.
Хорошо, что в PaaS, с которым я сейчас работаю, такое невозможно, все запросы идут только через драйвер, никак нельзя послать строку. Но он база не реляционная, объекты туда натурально кладутся. И потом JOINить только руками в коде :)

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

45. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от dlazerka (ok) on 15-Дек-15, 11:27 
> Никак. Нормальные люди юзают подготовленные выражения.

Ну так а я о чём? PreparedStatement и есть прослойка. А вы называете её тормознутой. Противоречите себе.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

51. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от Аноним (??) on 15-Дек-15, 11:55 
>> Никак. Нормальные люди юзают подготовленные выражения.
> Ну так а я о чём? PreparedStatement и есть прослойка. А вы
> называете её тормознутой. Противоречите себе.

Не совсем так, это прослойка немного другого уровня (которая в части применений позволяет ускорить работу по сравнению с параметрами в sqlText.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

42. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Andrew (??) on 15-Дек-15, 11:19 
> А вы как эскейпите SQL параметры?

Query Parameters Binding?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

46. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от dlazerka (ok) on 15-Дек-15, 11:29 
>> А вы как эскейпите SQL параметры?
> Query Parameters Binding?

Ну так а я о чём? См мой первый коммент с которого началась ветка: "INSERT INTO test({foo}, {bar})". Потом биндим фуу бары.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

40. "Новая критическая уязвимость в Joomla использована для совер..."  +1 +/
Сообщение от angra (ok) on 15-Дек-15, 10:55 
> Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую,
> без прослойки, которая подставляет+чистит данные?

Ты точно хорошо вычитал на этот предмет код всех ORM, с которыми приходится сталкиваться? Вдруг окажется, что в одной функции авторы ORM ожидают уже экранированные данные, а в другой чистые. А сможешь всегда держать в голове эти нюансы и не забывать просматривать код всех новых версий?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

43. "Новая критическая уязвимость в Joomla использована для совер..."  +1 +/
Сообщение от dlazerka (ok) on 15-Дек-15, 11:23 
>> Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую,
>> без прослойки, которая подставляет+чистит данные?
> Ты точно хорошо вычитал на этот предмет код всех ORM, с которыми
> приходится сталкиваться? Вдруг окажется, что в одной функции авторы ORM ожидают
> уже экранированные данные, а в другой чистые. А сможешь всегда держать
> в голове эти нюансы и не забывать просматривать код всех новых
> версий?

Да, я читал код JDBC, именно на предмет экранирования. Да и что там читать, Ctrl-клик на вызов preparedStatement.setString() в своём коде и вот оно экранирование.

Не вдруг, не окажется. НЕТ функций, которые ожидают экранированные данные. Зачем вообще в коде держать экранированные?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

47. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от angra (ok) on 15-Дек-15, 11:29 
Загугли значение ORM, ну или сразу глянь в https://en.wikipedia.org/wiki/Object-relational_mapping
Подсказка, JDBC это не ORM.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

52. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 15-Дек-15, 11:57 
> Загугли значение ORM, ну или сразу глянь в https://en.wikipedia.org/wiki/Object-relational_mapping
> Подсказка, JDBC это не ORM.

DDL и DML в одну кучу не надо валить.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

57. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от жабабыдлокодер (ok) on 15-Дек-15, 14:20 
Нормальные, человеческие ORM-ы, вроде JPA и Hibernate, сидят уже поверх JDBC.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

11. "Новая критическая уязвимость в Joomla использована для совер..."  +4 +/
Сообщение от Иван Ер0хин on 15-Дек-15, 00:44 
Ох жесть, когда уже наконец выжгут каленным железом на интересных местах о том, что любые входные данные должны фильтроваться и проверяться.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 15-Дек-15, 19:31 
> Ох жесть, когда уже наконец выжгут каленным железом на интересных местах о том, что любые входные данные должны фильтроваться и проверяться.

Программисты тут ни при чём.

Приходит заказчик, у тебя-умного сайт можно сделать за 1000 денег, у знакомого студента - за 250. У заказчика физически есть только 250. А ты отказываешься работать за четверть зп, а на остальные три четверти искать вторую работу. Вот они и идут к студентам.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

68. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 15-Дек-15, 21:17 
> Приходит заказчик, у тебя-умного сайт можно сделать за 1000 денег,
> у знакомого студента - за 250. У заказчика физически есть только 250.

Значит, ему сейчас не нужен сайт.  Серьёзно.  Потому что потеряет он на нём сперва 2000, а потом и репутацию.

Некоторые понимают это на второй стадии, но многие и на третьей не замечают ничего необычного...

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

13. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 15-Дек-15, 00:56 
Большинству, не нужны супер мега написанные движки вручную на php, которые соответсвуют стандартам правильности, культуры программирования, надежности, обхода всех нежелательных переполнений буфероф и прочих правильных вещей. Главное, чтобы крутилось и можно было получать с этого выгоду.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

69. "Новая критическая уязвимость в Joomla использована для совер..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 15-Дек-15, 21:18 
> Главное, чтобы крутилось и можно было получать с этого выгоду.

Вот такие дебилы, не побоюсь этого слова, и строят скорорушащиеся дома.

Чтоб они все подавились этой "выгодой".

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Корабельная крыса on 15-Дек-15, 01:02 
Suhosin ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Nicknnn (ok) on 15-Дек-15, 15:15 
Помер?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 15-Дек-15, 01:54 
Спасибо, что просветили.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от Аноним (??) on 15-Дек-15, 06:49 
Похапе-хейтеры в курсе, что Википедия и, если не ошибаюсь, Фейсбук с Вконтактом написаны на пхп?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от Аноним (??) on 15-Дек-15, 07:46 
Конечно в курсе,эти же люди по совместительству ненавидят социальные сети и считают, что википедия давно скатилась.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 15-Дек-15, 09:18 
> Конечно в курсе,эти же люди по совместительству ненавидят социальные сети и считают,
> что википедия давно скатилась.

Пусть тогда ненавидят еще и питон за дырки в moinmoin, руби за дырки в гитхабе, си за дырки в системном софте, баш - за shellshock, ...

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

41. "Новая критическая уязвимость в Joomla использована для совер..."  +1 +/
Сообщение от Аноним (??) on 15-Дек-15, 11:15 
да, фейсбук и контакт изначально использовали пхп, и сейчас жалеют об этом. Дело дошло до того, что им пришлось написать свои собственные интерпретаторы этого недоязыка и вынести все что можно в библиотеки на C/C++.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

63. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от Аноним (??) on 15-Дек-15, 19:35 
> изначально использовали пхп, и сейчас жалеют об этом [...] вынести все что можно в библиотеки на C/C++.

Поверь, те, кто одновременно с фейсбуком начали писать социальную сеть на С/C++, сейчас жалеют не меньше.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

27. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 15-Дек-15, 08:51 
Без предустановленных дыр тут ничего не взлетает..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от CHERTS email(??) on 15-Дек-15, 09:50 
Для 2.5.28 патчик
http://pastebin.com/90RnzreF
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 15-Дек-15, 13:22 
Пропатчил движки подведомственных сайтов.
Однако на парочке серверов в логах обнаружил __test|O:21:\"JDatabaseDriverMysqli
Двумя часами ранее, чем патчи накатил.

Не совсем понял - как могли эту уязвимость заэксплуатировать и что теперь стоит еще проверить?

Сторонних файлов на вскидку не обнаружил в системе. Детально пока не изучал.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от Игорь email(??) on 15-Дек-15, 16:25 
А я вчера все обновил, но сегодня в логах появилось такое чудо.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

60. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 15-Дек-15, 16:46 
Вот те раз... Это уже не радует. :(
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

70. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от brandy (ok) on 15-Дек-15, 21:19 
На другом сайте советуют в .htaccess так же докинуть

RewriteCond %{HTTP_USER_AGENT} .*\{.* [NC]
RewriteRule .* - [F,L]

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

71. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Владимир email(??) on 15-Дек-15, 23:32 
а что за сайт, такое рекомендует?
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

73. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 16-Дек-15, 05:52 
http://habrahabr.ru/company/pt/blog/273213/
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

74. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 16-Дек-15, 05:55 
Аналогично, нашел в логах упомянутые строки. Поднял старую копию из бэкапа, сверил хэши - ничего не изменено. Провел аудит системы - тоже все чисто.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

76. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Ilya Indigo (ok) on 16-Дек-15, 10:46 
> Аналогично, нашел в логах упомянутые строки. Поднял старую копию из бэкапа, сверил
> хэши - ничего не изменено. Провел аудит системы - тоже все
> чисто.

А вы БД сверяли?

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

78. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним (??) on 16-Дек-15, 12:08 
Нет, т.к. это проблематично (делаются регулярные изменения в магазине). Но новых пользователей нет, права админов/суперадминов у определенных пользователей без изменений, доступ в админку закрыт через .htaccess


Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

67. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от brandy (ok) on 15-Дек-15, 21:14 
Чёрт, поздно прочитал новость, просмотр логов дал инфу о сегодняшнем посещении такого Юзер-Агента в 8 вечера с ip из Украины и ближе к 9 вечера с ip из Канады.
А вчера, позавчера, позапоза... - всё чисто. Увидел бы вовремя, раньше бы поужинал.

Ушел откатываться на точки автобэкапов хостинга и обновляться...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Atla email on 16-Дек-15, 05:13 
Судя по всему, эта уязвимость эксплуатировалась годами, просто выявлена была после массовой, автоматической, попытки эксплуатации.
У меня в логах есть подобная запись от 15.12 и на этом всё: ничего не изменено, не удалено и не добавлено. Смысл уязвимости: remote code execution, так что копать нужно ОС сервера на наличие "гостей" а не бэкапы joomla откатывать :).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "Новая критическая уязвимость в Joomla использована для совер..."  +1 +/
Сообщение от тоже Аноним email(ok) on 16-Дек-15, 08:48 
Если у вас на сервере пользователь, от которого работает сайт, может подсадить "гостей" куда-то вне каталога сайта, то вам еще глубже копать надо.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

82. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Atla email on 16-Дек-15, 22:24 
Да, всё верно! И это уже проблемы хостера если используется хостинг. В любом из случаев: увидел подобного гостя в логах - проверяй всю систему. Хорошо если стоит какой-то *nix, хуже если поделка от майкрософта.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

77. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от йцукен (??) on 16-Дек-15, 10:55 
Дал url на эту статью веб мастеру. После не долгого прочтения было – “Та ну нах… Мы за файрволом.”
Вопрос – “Как «стимулировать» веб мастера пропатчить jooml’у?”
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

79. "Новая критическая уязвимость в Joomla использована для совер..."  –1 +/
Сообщение от Аноним (??) on 16-Дек-15, 15:14 
Ответ - пригласить для веб мастера помощника и дать возможность поработать в двоем  пару  деньков.
Пусть опытом обменяются.
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

81. "Новая критическая уязвимость в Joomla использована для совер..."  +1 +/
Сообщение от Аноним (??) on 16-Дек-15, 19:16 
> Как «стимулировать» веб мастера пропатчить jooml’у?

Попробуйте деньгами? И пообещайте оплатить время, которое (если) потребуется для исправлений, если в результате обновления что-то поломается.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

83. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Atla email on 16-Дек-15, 22:30 
Объяснить мастеру что файервол тут никак не поможет, потому как joomla разрешена в правилах файервола, уязвимость в ней же и "гости" потом могут под её же процесс замаскироваться и спокойно работать. Если веб-мастер этого не понимает - то....а вообще, что взять с веб-мастера? :))


Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

80. "Новая критическая уязвимость в Joomla использована для совер..."  +/
Сообщение от Аноним email(??) on 16-Дек-15, 16:25 
юзайте yii2
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру