Уязвимости и их устранение. Защита от разных способов взлома.

Серьёзная уязвимость в версиях Joomla 1.5.0 до 3.4.5

Александр » 15 дек 2015, 15:48

14 Декабря 2015 г. команда разработчиков выпустила новую версию Joomla 3.4.6, в которой содержится фикс серьёзной уязвимости в обработчике сессии, связанная с возможностью внедрения php-объекта в сериализованном виде в базу данных MySQL. Внедрение стало возможным из-за бага в MySQL-сервере, который при настройке на сохранение символов в кодировке UTF8, встретив символ из таблицы расширенного Unicode (например, символ конверта 0xF0 0x9F 0x96 0x82) посчитает его некорректным и оставшуюся часть строки отрежет, сохранив только начало строки.
21 Декабря 2015 г. был выпущен релиз Joomla 3.4.7, который закрывает эту же уязвимость в обработчике сессии, разработчики выяснили, что уязвимость связана не только с вышеупомянутым багом в MySQL-сервере, но и с багом в некоторых версиях языка PHP, связанным с десериализацией объекта сессии https://bugs.php.net/bug.php?id=70219.
Они решили "забетонировать" эту дыру, применив к сериализованному объекту сессии base64-кодирование/декодирование перед сохранением и, соответственно, после получения из базы данных.
Т. к. класс JSession, в котором может эксплуатировать данная проблема, существует практически в неизменном виде с версии Joomla 1.5.0, то это стало по-настоящему глобальной проблемой.
Для серий Joomla 3.0.x разработчики рекомендуют обновляться до последней версии 3.4.7.
Для более ранних семейств с Joomla 1.5.0 до 2.5.x в теории также рекомендуется проапгрейдится до версии 3.4.7, но, понимая, что для многих это почти не реально в силу глубоких некорректных модернизаций движка и установленных старых расширений, разработчики выпустили заплатки, благо, заплатка состоит из одного файла.
Заплатки выложены на странице по закрытию критических уязвимостей для для официально не поддерживаемых версий: https://docs.joomla.org/Security_hotfix ... L_versions.
Александр
 
Сообщения: 397
Зарегистрирован: 20 мар 2014, 17:05

Re: Серьёзная уязвимость в версиях Joomla 1.5.0 до 3.4.5

Mihail 77 » 30 дек 2015, 16:51

Александр, добрый день!

Еще раз благодарю Вас, что помните и на почту сообщили, файл из архива поменял, всё работает нормально.
Но тут одна проблемка случилась, у нас еще один сайт имеется (в личку отправил данные).
Он тоже на joomle и я там тоже решил поменять этот файл, сайт перестал работать))
К разработчику сайта не хочу обращаться (я не очень доволен остался его работой), если можете глянуть в чем беда буду очень признателен.
Вообще этот сайт мы не используем, но на будущее пригодится. В общем, давайте по-возможности, обсудим, что с ним делать..
Mihail 77
 
Сообщения: 5
Зарегистрирован: 30 дек 2015, 16:45

Re: Серьёзная уязвимость в версиях Joomla 1.5.0 до 3.4.5

Александр » 30 дек 2015, 20:25

Поломался т. к. я вам давал ссылку на патч для версий Joomla 1.5.x, а этот сделан на Joomla 3.2.3.
Вы можете наверное из Бэкапа в панели хостинга https://cp.sweb.ru/backup/ этот файл восстановить. Вот, вроде еще здесь https://www.joomla.org/announcements/re ... eased.html можно полностью скачать эту версию и взять файл.

Я здесь помочь больше не смогу, времени и сил уже нет.
Теоретически, в 3.х.х версиях нужно через админку сайта обновление устанавливать (Компоненты - обновление Joomla).
Просто заменить 1 файл не достаточно будет, в 3.х.х версиях еще как минимум одна уязвимость недавно закрыта была.
Только, если ваш разработчик вносил какие-то модификации в ядро, то после обновления сайт может поломаться. Я вижу он дефолтный шаблон использовал при разработке, если вносил в него правки, то и дизайн поломаться может при обновлении.
В общем, можете, конечно попробовать (например, локально на Денвере), главное бэкап перед этим сделать сайта и базы данных.
Очень плохо, что у вас все сайты на одном хостинг-аккаунте, т. к. при взломе одного сайта, могут добраться до всех.

Еще, советую установить пароль на папки "administrator", в файловом менеджере в строке с папкой справа при наведении появляется такая опция. Это даст доп. защиту админки (пример http://prom-vesti.ru/administrator) от перебора паролей ботами и снизит нагрузку от них.
Александр
 
Сообщения: 397
Зарегистрирован: 20 мар 2014, 17:05


Вернуться в Безопасность