1. Приветствуем Вас на нашем закрытом форуме для складчиков сайта cmsheaven.org. Если Вы частный вебмастер, фрилансер, владелец малого или среднего бизнеса, представитель студии по разработке сайтов - будем рады видеть Вас в наших рядах экономных людей.
    Регистрация на форуме возможна только после вступления в складчину

Уязвимость в Joomla 3

Тема в разделе "Обсуждаем Joomla, шаблоны и расширения к ней", создана пользователем Leonid, 30 окт 2016.

  1. Leonid

    Leonid Cкладчик

    Регистрация:
    30 дек 2015
    Сообщения:
    25
    Симпатии:
    1
    Добрый день. Может кто-нибудь знает, если ли патч, чтобы закрыть новую уязвимость в Joomla.

    "Обе бреши, оцененные как высокой степени опасности, были обнаружены в начале октября и актуальны для Joomla версий с 3.4.4 по 3.6.3."

    Нужен патч для версии 3.4.8. В данный момент нет возможности обновиться до 3.6.4, в котором уже исправлены эти ошибки.

    Может кто-нибудь знает, RSFirewall блокирует новую ошибку?
    #1
  2. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Патча для версии 3.4 и 3.5 нет. Надо обновляться с 3.5.1 до 3.6 а потом до 3.6.4.
    https://github.com/joomla/joomla-cms/releases/tag/3.6.4
    #2
  3. Leonid

    Leonid Cкладчик

    Регистрация:
    30 дек 2015
    Сообщения:
    25
    Симпатии:
    1
    Спасибо. А с версии 3.4.8 до 3.5.1 можно обновиться сразу? или нужно тоже поэтапно делать?
    #3
  4. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Поэтапно надо с 3.4.8 до 3.5.1.
    Вот инструкция: https://docs.joomla.org/J3.x:Upgrading_from_Joomla_3.4.x_to_3.5

    P.S. Не очень удобно с этими обновлениями, ибо начиная с версий Joomla 3.6.x, некторые расширения неадекватно работаю на локалке.
    Например Dj-MegaMenu и DJ-Suggester не работают на Joomla 3.6.x и локалке. На Хостинге все норм. Проблему так и не нашел.
    #4
  5. Leonid

    Leonid Cкладчик

    Регистрация:
    30 дек 2015
    Сообщения:
    25
    Симпатии:
    1
    Дэн, спасибо Вам большое. Буду думать, что делать дальше. А у Вас RSFirewall установлен? Если да, как вы считаете, он блокирует атаки на новую уязвимость у Джумлы?
    #5
  6. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Установлен. Только честно, не могу сказать или он блокирует эту уязвимость) Там что-то связано с созданием аккаунта и правами. Надо бы помониторить.
    #6
  7. Leonid

    Leonid Cкладчик

    Регистрация:
    30 дек 2015
    Сообщения:
    25
    Симпатии:
    1
    Спасибо Вам большое! Хоть понял, что поэтапно обновляется Джумла. Хорошего дня Вам.
    #7
  8. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Спасибо! И вам хорошего дня!
    #8
  9. Leonid

    Leonid Cкладчик

    Регистрация:
    30 дек 2015
    Сообщения:
    25
    Симпатии:
    1
    Дэн, хотел уточнить, может Вы знаете. Если с помощью новой уязвимостью Джумлы создан на сайте пользователь, в админке, в рубрике Пользователи его видно или можно сделать чтоб не видно его было? Просто для себя понять, смогли создать или RSFirewall блокирует их.
    #9
  10. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Если регистрация выключена, то не создадут нового пользователя. И нельзя сделать, чтобы его не было видно в Админке. Ну в моей практике такого не было. В любом случае можно зайти в Базу данных и проверить всех юзеров.
    Было разве что спамеры активно регали разные идиотские аккаунты. Но это было давно еще на Joomla 2.5. Но тогда была регистрация включена. Очень активно взламывают через компоненты EasyBlog и Kunena - это те, расширения, со взломами которых лично я сталкивался.
    Если честно, я точно не могу сказать, в чем именно уязвимость, которую убрали в Joomla 3.6.4.

    Я еще рекомендую ставить вот такой плагин, если есть регистрация на сайте - Email Protector (Маскировка E-mail от спам ботов): https://www.regularlabs.com/extensions/emailprotector
    Он бесплатен.
    #10
  11. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Здравствуйте! Обновите Rs Firewall до версии 2.11.4. Там с уязвимостью обновили в версии Joomla 3.6.4.
    Инфа: More thorough check for Joomla! < 3.6.4 vulnerability
    #11