The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск системы управления контентом Joomla 3.8

21.09.2017 12:26

Доступна новая ветка свободной системы управления контентом Joomla 3.8, в которой устранена опасная уязвимость (CVE-2017-14596) в модуле аутентификации через LDAP.

Из-за отсутствия должного экранирования передаваемых данных возможно указание в форме аутентификации специально оформленного имени пользователя, содержащего маску поиска в LDAP (например, "XX;(&(uid=Admin)(userPassword=A*))"). В процессе атаки возможно извлечение из LDAP-сервера параметров аутентификации для всех имеющихся учётных записей, включая логин и пароль администратора. Извлечение осуществляется методом подбора - на основании ответа сервера можно определить нашлись ли записи для отправленного поискового запроса, что позволяет символ за символом восстановить значение поля.

Из функциональных улучшений Joomla 3.8 можно выделить:

  • Новая система маршрутизации обработчиков и система разбора структуры URL с поддержкой вырезания идентификаторов;
  • Прослойка для совместимости с будущей веткой Joomla 4, в которой осуществлено изменение структуры кода из-за перевода классов на применение пространств имён. Прослойка позволяет постепенно адаптировать код под новую структуру, благодаря маппингу новых имён классов в старые;
  • Возможность загрузки шаблонов данных с реализацией типовых вариантов сайтов после завершения установки Joomla;
  • В состав включена реализация API библиотеки Sodium на языке PHP (Polyfill), позволяющая задействовать в своих проектах современные криптографические функции, не дожидаясь релиза PHP 7.2, в котором будет встроено расширение на базе libsodium.

Из особенностей Joomla можно отметить: гибкие инструменты по управлению пользователями, интерфейс для управления медиа-файлами, поддержка создания многоязычных вариантов страниц, система управления рекламными кампаниями, адресная книга пользователей, голосования, встроенный поиск, функции категоризации ссылок и учета кликов, WYSIWYG-редактор, система шаблонов, поддержка меню, управление новостными потоками, XML-RPC API для интеграции с другими системами, поддержка кэширования страниц и большой набор готовых дополнений.

  1. Главная ссылка к новости (https://www.joomla.org/announc...)
  2. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
  3. OpenNews: Критические уязвимости в системе управления контентом Joomla
  4. OpenNews: В Joomla устранена ещё одна критическая уязвимость
  5. OpenNews: Новая критическая уязвимость в Joomla использована для совершения массовой атаки
  6. OpenNews: Критическая уязвимость в системе управления контентом Joomla
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47243-joomla
Ключевые слова: joomla
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:55, 21/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-то до сих пор хранит пароли в открытом виде?
     
     
  • 2.7, Аноним (-), 21:02, 21/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    LDAP
     
     
  • 3.9, Аноним (-), 23:38, 21/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да что ты говоришь? А у меня почему-то хеширует.
     

  • 1.2, Аноним (-), 12:58, 21/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Где можно посмотреть список новых багов, внесенных в этом релизе?
     
     
  • 2.3, Michael Shigorin (ok), 13:05, 21/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Где можно посмотреть список новых багов, внесенных в этом релизе?

    "Из особенностей Joomla нужно отметить", что их практически гарантированно понавносили...

    http://www.opennet.dev/openforum/vsluhforumID3/73925.html#35

     
     
  • 3.8, Disaron (ok), 21:25, 21/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    6 лет посту.

    Joomla хороша сейчас, не чета друпалам с их безопасностью уровня скрытия кнопки.

     
     
  • 4.10, Michael Shigorin (ok), 00:32, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > 6 лет посту.

    Такие детские сады не лечатся без перепелёнывания всего авторского коллектива, там и 12 лет назад было то же самое (не помню, ещё при мамбе или уже жумлой -- тогда они ещё считали, когда получится догнать взрослые CMS).

     

  • 1.11, НяшМяш (ok), 01:24, 22/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Захотел тыкнуть в демку, поностальгировать, а там SSL_ERROR_NO_CYPHER_OVERLAP. Очень наглядно как-бы намекает - псс, парень, беги отсюда.
     
     
  • 2.12, Васян (?), 01:59, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У меня ничего такого не вылезло, что очень наглядно как-бы намекает на рукожопопроблемы.
     
     
  • 3.14, Аноним (-), 21:39, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Небось на каком-нибудь гуглхроме сидит, который каждый месяц что-нибудь очередное в https ломает и публично об этом хвастается.
     

  • 1.13, Аноним (-), 09:36, 22/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Давно уже не видел сайтов на CMS. Держать вас в курсе?
     
     
  • 2.15, анон (?), 07:27, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А чем сейчас пользуются?
     
  • 2.16, Анонимный Аноним (?), 21:28, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Даже не имея зрения некоторые умеют оставлять комментарии в интернете. Респект таким ребятам, которые не смотря ни на что живут полной жизнью.
     
  • 2.17, Анонимимус (?), 18:46, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Занимаюсь созданием сайтов и в основном как раз использую Joomla. Очень удобно, когда за 10 минут заказчику буквально на пальцах можно объяснить, как редактировать содержимое сайта и он, в итоге, больше не трахает твои мозги, насчет того, что бы поправить это или поправить то.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру