Форум русской поддержки Joomla!® CMS
09.12.2016, 11:49:42 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт. 2016

 (Прочитано 997 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1466


« : 21.10.2016, 18:19:33 »

Официальная новость

Разработчики настоятельно рекомендуют обновить Joomla! как можно скорее после выхода релиза безопасности 25 октября 2016 года. На данный момент информация об уязвимости высокого уровня держится в секрете.
Записан
b2z
Support Team
*****

Репутация: +710/-0
Offline Offline

Пол: Мужской
Сообщений: 7538


Разраблю понемногу


« Ответ #1 : 21.10.2016, 18:23:49 »

Ужос Azn
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #2 : 21.10.2016, 18:27:28 »

Сколько сейчас после этой новости эксплойтов запустят.......... а еще 4 дня ждать. Ожидаю повышения цен на валидол и крепкий алкоголь.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #3 : 21.10.2016, 18:37:16 »

ну тут как бы палка о двух концах... лучше наверное сообщить заранее, чтобы было время у владельцев сайтов прочесть, отреагировать, и т.п. потому что зная только, что такая возможность есть, за 4 дня навряд ли эксплоит будет реализован. а вот после выхода фикса - 100% будет реализован Azn и тогда уже кто не успел - тот опоздал Azn а так хотя бы вероятность что эта новость разойдется по сообществам вроде форумов, и о ней узнает максимальное количество юзеров, и сразу после выхода фикса обновятся.
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #4 : 21.10.2016, 18:41:20 »

есть плагин который при выходе красного уровня Хотфиксов сам бы накатывал хотфикс на платформу?
Так как после выхода предыдущего хотфикса атаки на сайты пошли уже через !пол часа после выхода хотфикса.
А если кто-то через час обновился- то уже произошел взлом!
« Последнее редактирование: 21.10.2016, 20:12:29 от AlexeyGal » Записан
b2z
Support Team
*****

Репутация: +710/-0
Offline Offline

Пол: Мужской
Сообщений: 7538


Разраблю понемногу


« Ответ #5 : 21.10.2016, 18:42:30 »

А кто сказал, что эксплоит доступен публично?
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1466


« Ответ #6 : 21.10.2016, 18:43:29 »

есть плагин который при выходе красного уровня Хотфиксов сам бы накатывал хотфикс на платформу?
Так как после выхода предыдущего хотфикса атаки на сайты пошли уже через пол часа! после выхода хотфикса.
А если кто-то через час обновился- то уже произошел взлом!
Возможно, сегодня необходимо подготовиться и сделать резервную копию.
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #7 : 21.10.2016, 18:45:41 »

А кто сказал, что эксплоит доступен публично?

Также и в прошлый раз- не было доступно публично эксплоитов, но в логах сервера Строка Атаки с SQL запросом была очевидно написана. Атаки пошли через пол часа после выхода хотфикса причем- по десяткам моих проектов сразу, так как они в ТОПе Яндекса. Следовательно атакам максимально подвержены ТОПовые сайты, а значит тут нужна Оперативность- плагин, который накатывает обновления сразу после его выхода, так как просто физически я не успеваю накатить обновления на Все свои проекты за пол часа Вручную!
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #8 : 21.10.2016, 18:52:03 »

Возможно, сегодня необходимо подготовиться и сделать резервную копию.

Толку делать бекапы? если целью является не заливка файлов, а кража базы пользователей и Клиентов с паролями и др. Наверное стоит вообще отключить все проекты, до обновления.
Записан
b2z
Support Team
*****

Репутация: +710/-0
Offline Offline

Пол: Мужской
Сообщений: 7538


Разраблю понемногу


« Ответ #9 : 21.10.2016, 18:53:36 »

а значит тут нужна Оперативность- плагин, который накатывает обновления сразу после его выхода
Ну так напишите такой плагин и предложите влить его в ядро. В чём проблема?
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #10 : 21.10.2016, 18:59:22 »

А кто сказал, что эксплоит доступен публично?
это мне вопрос? если мне - то я ж наоборот, как раз говорю что за 4 дня владея только информацией о том, что эксплоит возможен, его навряд ли сделают. дыру ж найти еще надо. но зато у юзеров будет время подготовится. хотя конечно при неудачном стечении обстоятельств может быть и наоборот Azn
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8732


любит наш народ всякое гавно...


« Ответ #11 : 21.10.2016, 19:00:30 »

А хорошая идея про плагин. Есть еще 3 с небольшим дня его написать.
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #12 : 21.10.2016, 19:04:30 »

Ну так напишите такой плагин и предложите влить его в ядро. В чём проблема?

Пишут что более 75 миллионов закачек Joomla, сайтов путь 5 миллионов.
1. если на установку Хотфикса уходит 1мин то Экономия 83.333 Человеко-Часов времени!
2. задержка обновления Вручную даже на пол часа- несет угрозу утечки баз данных, клиентов, кредитных карт и др. что является большим минусом платформы для серьезных проектов.

Я не вхожу в узкий круг разработчиков Joomla, в отличие от Вас. Вот есть еще 4 дня осталось до обновления, было бы отлично написать такой ДО его выхода и предложить форумчанам установить, чтобы скорость обновления повысить и произошла сразу десятков тысяч сайтов. Экономия времени жизни форумчанам.
« Последнее редактирование: 21.10.2016, 19:41:13 от AlexeyGal » Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #13 : 21.10.2016, 19:06:36 »

А хорошая идея про плагин. Есть еще 3 с небольшим дня его написать.
это ж по хорошему надо чтобы сайты пушились. а Joomla еще до этого не дошла Azn да и навряд ли дойдет когда нибудь. и так хорошо, на мыло сообщает, что обновление есть...
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #14 : 21.10.2016, 19:09:09 »

у юзеров будет время подготовится.

К чему готовиться? в прошлый раз строка атаки в Открытом Виде была доступна в логах сервера через пол часа после выхода Хотфикса.
Тут нужна автоматизация плагином платформы, а не каждому выдумывать свой велосипед обновлений!
Не нужно было ничего писать, достаточно сделать простой запрос в В адресной строке сайта Вручную чтобы залить любой файл.
« Последнее редактирование: 21.10.2016, 19:13:03 от AlexeyGal » Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #15 : 21.10.2016, 19:09:37 »

Я не вхожу в узкий круг разработчиков Joomla, в отличие от Вас.
зато мы в отличие от вас не входим в топ пользователей по количеству и качеству проектов. толкайте идею на официальном форуме, к вам по любому должны прислушаться
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #16 : 21.10.2016, 19:12:44 »

в прошлый раз строка атаки в Открытом Виде была доступна в логах сервера через пол часа после выхода Хотфикса.
вот чтобы этого не было и в этот раз - вам сообщили о выходе фикса за 4 дня. ждите вторника 2-х часов - и в 2:01 обновляйтесь. и когда через пол часа в логах появятся "строки атаки" - вы уже защищены
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6460



« Ответ #17 : 21.10.2016, 19:15:35 »

А хорошая идея про плагин. Есть еще 3 с небольшим дня его написать.
http://watchful.li
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #18 : 21.10.2016, 19:24:09 »

зато мы в отличие от вас не входим в топ пользователей по количеству и качеству проектов.

Если бы я не отслеживал темы Форума, то узнать о дыре проблемно. Узнало об угрозе лишь ~20человек просмотревших тему.
Как быть с владельцами сайтов, которые не читают форум и бюллетени безопасности каждый день по три раза?
Это тысячи владельцев сайтов, которые также заинтересованы в закрытии дыр, но они не узнают о ней до выхода хотфикса.
А до этого они бы могли сделать хотя бы бекап! или отключить сайт вообще, чтобы не было риска утечки базы клиентов

Почему бы не сделать в платформе рассылку админам сайтов бюллетеня безопасности платформы о найденных дырах?
Сроках исправления с возможностью автоматического исправления?
« Последнее редактирование: 21.10.2016, 19:29:22 от AlexeyGal » Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6460



« Ответ #19 : 21.10.2016, 19:28:47 »

Почему бы не сделать в платформе рассылку админам сайтов бюллетеня безопасности платформы о найденных дырах?
Сроках исправления с возможностью автоматического исправления?
для этого существует подписка на оф.новости на оф.портале, иначе как бы другие узнали и оперативно поделились новостью здесь?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #20 : 21.10.2016, 19:31:06 »

Хорошая новость! качаем текущий экземпляр, ждем фикса, качаем обновленный вариант, сравниваем, анализируем, пишем сплоит, атакуем зоны врагов России)))
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6460



« Ответ #21 : 21.10.2016, 19:32:52 »

Хорошая новость! качаем текущий экземпляр, ждем фикса, качаем обновленный вариант, сравниваем, анализируем, пишем сплоит, атакуем зоны врагов России)))
а вот и рецептик )))
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #22 : 21.10.2016, 19:33:09 »

для этого существует подписка на оф.новости на оф.портале
ну вот, теперь плагина точно не будет Azn
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #23 : 21.10.2016, 19:35:34 »

Хорошая новость! качаем текущий экземпляр, ждем фикса, качаем обновленный вариант, сравниваем, анализируем, пишем сплоит, атакуем зоны врагов России)))
а то такого не произошло бы, если бы новости не было Azn
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1466


« Ответ #24 : 21.10.2016, 20:16:28 »

Толку делать бекапы? если целью является не заливка файлов, а кража базы пользователей и Клиентов с паролями и др. Наверное стоит вообще отключить все проекты, до обновления.

Как правило, база пользователей нафиг никому не нужна (если только пароли суперадминистраторов, но их можно поменять в любой момент). Основной целью взлома является создание ботнетов, которые отправляют спам и участвуют в ДДОС атаках от Вашего сервера. Ну ещё перенаправление трафика ведётся.

Поэтому строгая защита на запись файлов сайта и бекапы сведут опасность к минимуму. Ну и пароль от базы желательно сменить после обновления.

Хотя если на вашем сайте пользователи самостоятельно размещают контент с фронта, то здесь возможны проблемы в виде постинга ссылок и прочего вирусного контента, хотя это маловероятно (пароли всех пользователей хранятся в хешированном виде).
« Последнее редактирование: 21.10.2016, 20:21:14 от Филипп Сорокин » Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8732


любит наш народ всякое гавно...


« Ответ #25 : 21.10.2016, 20:56:28 »

И? К чему это?
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #26 : 21.10.2016, 20:59:56 »

Филипп, ну что вы? как это базы пользователей никому не нужны? десятки топ проектов по всей стране и не только. вы представляете, какие там клиенты? это ваш, мой, да что говорить - почти любой сайт ради спама поломают. но тут же речь о другом уровне совсем.
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1466


« Ответ #27 : 21.10.2016, 21:03:25 »

Филипп, ну что вы? как это базы пользователей никому не нужны? десятки топ проектов по всей стране и не только. вы представляете, какие там клиенты? это ваш, мой, да что говорить - почти любой сайт ради спама поломают. но тут же речь о другом уровне совсем.
Не представляю, какую ценную информацию можно выудить из таблицы `users` кроме имени пользователя и адреса эл. почты. Надеюсь, технические специалисты топовых проектов не додумались хранить номера кредиток в базе? ))) Если нет, то при таком подходе им вообще ничего не поможет.
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #28 : 21.10.2016, 21:09:34 »

...десятки топ проектов по всей стране и не только. вы представляете, какие там клиенты? ...

... Надеюсь, технические специалисты топовых проектов не додумались хранить номера кредиток в базе? ))) Если нет, то при таком подходе им вообще ничего не поможет.

По видимому Вам нравится кидать камушки в меня. Azn
Однако... как бы Вам смешно не было, мои проекты действительно в ТОП 5 яндекса, некоторые Первые в выдаче, посещаемость держится от 100чел до 1000чел в день и выше. Так что вопросы безопасности меня интересуют.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #29 : 21.10.2016, 21:10:47 »

Не представляю, какую ценную информацию можно выудить из таблицы `users` кроме имени пользователя и адреса эл. почты. Надеюсь, технические специалисты топовых проектов не додумались хранить номера кредиток в базе? ))) Если нет, то при таком подходе им вообще ничего не поможет.
Представте к примеру тематический сайт оптовых продаж парфюмерии, где как правило, регистрируются и покупают заинтересованные лица... злоумышленник, сливает базу, в лучшем случае, когда клиентов переманят, в худшем, когда мутят фейки на продажу аналогичного товара и при грамотно составленом тексте в спаме, определенный процент обязательно поведется и купит!

Ну да... какую же ценную информацию может представлять юзерская таблица, не понимаю Grin
Цитировать
Надеюсь, технические специалисты топовых проектов не додумались хранить номера кредиток в базе? ))) Если нет, то при таком подходе им вообще ничего не поможет.
Щас не обязательно хранить данные в БД, щас все это дело снифается в момент заполнения форм, покупателем, погуглите, в инете полно инфы на эту тему, достаточно всего лишь шела, даже с ограниченными правами!
« Последнее редактирование: 21.10.2016, 21:14:40 от winstrool » Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet