Новости Joomla

Вышли релизы Joomla 5.1.0 и Joomla 4.4.4

Проблема с id в URL материалов Joomla при обновлении большого старого сайта до Joomla 5

В старых версиях Joomla URL адрес формировался по схеме [id материала + алиас материала]. Например, 145-my-article-alias. Однако. старый роутер Joomla был не идеален и плодил дубли страниц, с чем усиленно боролись СЕО специалисты с помощью различных плагинов и хаков ядра CMS.

Используем поля Joomla для фильтрации материалов

Перевод статьи одного из разработчиков ядра Joomla Брайана Тимэна (Brian Teeman).

1 2  Все   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 37 Ответов
  • 4808 Просмотров
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт. 2016
« : 21.10.2016, 17:19:33 »
Официальная новость

Разработчики настоятельно рекомендуют обновить Joomla! как можно скорее после выхода релиза безопасности 25 октября 2016 года. На данный момент информация об уязвимости высокого уровня держится в секрете.
Записан
*

b2z

  • Глобальный модератор
  • 7290
  • 778 / 0
  • Разраблю понемногу
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #1 : 21.10.2016, 17:23:49 »
Ужос :)
Записан
*

SeBun

  • BanMaster
  • 4018
  • 259 / 5
  • @SeBun48
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт
« Ответ #2 : 21.10.2016, 17:27:28 »
Сколько сейчас после этой новости эксплойтов запустят.......... а еще 4 дня ждать. Ожидаю повышения цен на валидол и крепкий алкоголь.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #3 : 21.10.2016, 17:37:16 »
ну тут как бы палка о двух концах... лучше наверное сообщить заранее, чтобы было время у владельцев сайтов прочесть, отреагировать, и т.п. потому что зная только, что такая возможность есть, за 4 дня навряд ли эксплоит будет реализован. а вот после выхода фикса - 100% будет реализован :) и тогда уже кто не успел - тот опоздал :) а так хотя бы вероятность что эта новость разойдется по сообществам вроде форумов, и о ней узнает максимальное количество юзеров, и сразу после выхода фикса обновятся.
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

b2z

  • Глобальный модератор
  • 7290
  • 778 / 0
  • Разраблю понемногу
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #4 : 21.10.2016, 17:42:30 »
А кто сказал, что эксплоит доступен публично?
Записан
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #5 : 21.10.2016, 17:43:29 »
Цитата: AlexeyGal от 21.10.2016, 17:41:20
есть плагин который при выходе красного уровня Хотфиксов сам бы накатывал хотфикс на платформу?
Так как после выхода предыдущего хотфикса атаки на сайты пошли уже через пол часа! после выхода хотфикса.
А если кто-то через час обновился- то уже произошел взлом!
Возможно, сегодня необходимо подготовиться и сделать резервную копию.
Записан
*

b2z

  • Глобальный модератор
  • 7290
  • 778 / 0
  • Разраблю понемногу
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт
« Ответ #6 : 21.10.2016, 17:53:36 »
Цитата: AlexeyGal от 21.10.2016, 17:45:41
а значит тут нужна Оперативность- плагин, который накатывает обновления сразу после его выхода
Ну так напишите такой плагин и предложите влить его в ядро. В чём проблема?
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #7 : 21.10.2016, 17:59:22 »
Цитата: b2z от 21.10.2016, 17:42:30
А кто сказал, что эксплоит доступен публично?
это мне вопрос? если мне - то я ж наоборот, как раз говорю что за 4 дня владея только информацией о том, что эксплоит возможен, его навряд ли сделают. дыру ж найти еще надо. но зато у юзеров будет время подготовится. хотя конечно при неудачном стечении обстоятельств может быть и наоборот :)
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

voland

  • Легенда
  • 11030
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #8 : 21.10.2016, 18:00:30 »
А хорошая идея про плагин. Есть еще 3 с небольшим дня его написать.
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт
« Ответ #9 : 21.10.2016, 18:06:36 »
Цитата: voland от 21.10.2016, 18:00:30
А хорошая идея про плагин. Есть еще 3 с небольшим дня его написать.
это ж по хорошему надо чтобы сайты пушились. а Joomla еще до этого не дошла :) да и навряд ли дойдет когда нибудь. и так хорошо, на мыло сообщает, что обновление есть...
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #10 : 21.10.2016, 18:09:37 »
Цитата: AlexeyGal от 21.10.2016, 18:04:30
Я не вхожу в узкий круг разработчиков Joomla, в отличие от Вас.
зато мы в отличие от вас не входим в топ пользователей по количеству и качеству проектов. толкайте идею на официальном форуме, к вам по любому должны прислушаться
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #11 : 21.10.2016, 18:12:44 »
Цитата: AlexeyGal от 21.10.2016, 18:09:09
в прошлый раз строка атаки в Открытом Виде была доступна в логах сервера через пол часа после выхода Хотфикса.
вот чтобы этого не было и в этот раз - вам сообщили о выходе фикса за 4 дня. ждите вторника 2-х часов - и в 2:01 обновляйтесь. и когда через пол часа в логах появятся "строки атаки" - вы уже защищены
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #12 : 21.10.2016, 18:15:35 »
Цитата: voland от 21.10.2016, 18:00:30
А хорошая идея про плагин. Есть еще 3 с небольшим дня его написать.
http://watchful.li
Записан
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #13 : 21.10.2016, 18:28:47 »
Цитата: AlexeyGal от 21.10.2016, 18:24:09
Почему бы не сделать в платформе рассылку админам сайтов бюллетеня безопасности платформы о найденных дырах?
Сроках исправления с возможностью автоматического исправления?
для этого существует подписка на оф.новости на оф.портале, иначе как бы другие узнали и оперативно поделились новостью здесь?
Записан
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #14 : 21.10.2016, 18:31:06 »
Хорошая новость! качаем текущий экземпляр, ждем фикса, качаем обновленный вариант, сравниваем, анализируем, пишем сплоит, атакуем зоны врагов России)))
Записан
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #15 : 21.10.2016, 18:32:52 »
Цитата: winstrool от 21.10.2016, 18:31:06
Хорошая новость! качаем текущий экземпляр, ждем фикса, качаем обновленный вариант, сравниваем, анализируем, пишем сплоит, атакуем зоны врагов России)))
а вот и рецептик )))
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #16 : 21.10.2016, 18:33:09 »
Цитата: AlekVolsk от 21.10.2016, 18:28:47
для этого существует подписка на оф.новости на оф.портале
ну вот, теперь плагина точно не будет :)
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #17 : 21.10.2016, 18:35:34 »
Цитата: winstrool от 21.10.2016, 18:31:06
Хорошая новость! качаем текущий экземпляр, ждем фикса, качаем обновленный вариант, сравниваем, анализируем, пишем сплоит, атакуем зоны врагов России)))
а то такого не произошло бы, если бы новости не было :)
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт
« Ответ #18 : 21.10.2016, 19:16:28 »
Цитата: AlexeyGal от 21.10.2016, 17:52:03
Толку делать бекапы? если целью является не заливка файлов, а кража базы пользователей и Клиентов с паролями и др. Наверное стоит вообще отключить все проекты, до обновления.

Как правило, база пользователей нафиг никому не нужна (если только пароли суперадминистраторов, но их можно поменять в любой момент). Основной целью взлома является создание ботнетов, которые отправляют спам и участвуют в ДДОС атаках от Вашего сервера. Ну ещё перенаправление трафика ведётся.

Поэтому строгая защита на запись файлов сайта и бекапы сведут опасность к минимуму. Ну и пароль от базы желательно сменить после обновления.

Хотя если на вашем сайте пользователи самостоятельно размещают контент с фронта, то здесь возможны проблемы в виде постинга ссылок и прочего вирусного контента, хотя это маловероятно (пароли всех пользователей хранятся в хешированном виде).
« Последнее редактирование: 21.10.2016, 19:21:14 от Филипп Сорокин »
Записан
*

voland

  • Легенда
  • 11030
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #19 : 21.10.2016, 19:56:28 »
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #20 : 21.10.2016, 19:59:56 »
Филипп, ну что вы? как это базы пользователей никому не нужны? десятки топ проектов по всей стране и не только. вы представляете, какие там клиенты? это ваш, мой, да что говорить - почти любой сайт ради спама поломают. но тут же речь о другом уровне совсем.
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #21 : 21.10.2016, 20:03:25 »
Цитата: dmitry_stas от 21.10.2016, 19:59:56
Филипп, ну что вы? как это базы пользователей никому не нужны? десятки топ проектов по всей стране и не только. вы представляете, какие там клиенты? это ваш, мой, да что говорить - почти любой сайт ради спама поломают. но тут же речь о другом уровне совсем.
Не представляю, какую ценную информацию можно выудить из таблицы `users` кроме имени пользователя и адреса эл. почты. Надеюсь, технические специалисты топовых проектов не додумались хранить номера кредиток в базе? ))) Если нет, то при таком подходе им вообще ничего не поможет.
Записан
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт
« Ответ #22 : 21.10.2016, 20:10:47 »
Цитата: Филипп Сорокин от 21.10.2016, 20:03:25
Не представляю, какую ценную информацию можно выудить из таблицы `users` кроме имени пользователя и адреса эл. почты. Надеюсь, технические специалисты топовых проектов не додумались хранить номера кредиток в базе? ))) Если нет, то при таком подходе им вообще ничего не поможет.
Представте к примеру тематический сайт оптовых продаж парфюмерии, где как правило, регистрируются и покупают заинтересованные лица... злоумышленник, сливает базу, в лучшем случае, когда клиентов переманят, в худшем, когда мутят фейки на продажу аналогичного товара и при грамотно составленом тексте в спаме, определенный процент обязательно поведется и купит!

Ну да... какую же ценную информацию может представлять юзерская таблица, не понимаю ;D
Цитировать
Надеюсь, технические специалисты топовых проектов не додумались хранить номера кредиток в базе? ))) Если нет, то при таком подходе им вообще ничего не поможет.
Щас не обязательно хранить данные в БД, щас все это дело снифается в момент заполнения форм, покупателем, погуглите, в инете полно инфы на эту тему, достаточно всего лишь шела, даже с ограниченными правами!
« Последнее редактирование: 21.10.2016, 20:14:40 от winstrool »
Записан
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #23 : 21.10.2016, 20:15:11 »
Цитата: voland от 21.10.2016, 19:56:28
И? К чему это?
а почитать/поизучать? сервис автообновлений движка и расширений, поддерживает J, на сайте ставится компонент для интеграции с сервисом, выходит обнова - сервис либо сигнализирует тебе об этом либо сам обнову накатывает (как настроишь)
Записан
*

al707

  • Осваиваюсь на форуме
  • 42
  • 2 / 0
  • Тамиров Александр
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт
« Ответ #24 : 22.10.2016, 01:36:54 »
Не понял, а где сказано, что уязвимость относится к версиям 3.6.x ?
Или это следует из смены только последней цифры в номере релиза?
Записан
*

b2z

  • Глобальный модератор
  • 7290
  • 778 / 0
  • Разраблю понемногу
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #25 : 22.10.2016, 08:15:52 »
Цитата: al707 от 22.10.2016, 01:36:54
Не понял, а где сказано, что уязвимость относится к версиям 3.6.x ?
Или это следует из смены только последней цифры в номере релиза?
Да, Вы правы, просто написано, что в ядре Joomla. Думаю, что подробности будут после выпуска патча.
Записан
*

b2z

  • Глобальный модератор
  • 7290
  • 778 / 0
  • Разраблю понемногу
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #26 : 22.10.2016, 08:18:39 »
Цитата: AlexeyGal от 21.10.2016, 18:04:30
Я не вхожу в узкий круг разработчиков Joomla, в отличие от Вас.
Узкий круг разработчиков? Откуда Вы это взяли? Нет никакого круга, любой может внести свой вклад в развитие.
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #27 : 22.10.2016, 09:05:44 »
Цитата: al707 от 22.10.2016, 01:36:54
Не понял, а где сказано, что уязвимость относится к версиям 3.6.x ?
Или это следует из смены только последней цифры в номере релиза?
более того, нигде не сказано, что уязвимость относится в принципе только к 3-й линейке... вот будет интересно если не только, а патча не будет...
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт.
« Ответ #28 : 22.10.2016, 11:24:27 »
А страх паника мы все умер срочно нажать на красную кнопку......
А теперь выдохним. Кто вообще сказал что дыра в 3.6.3 или 3.6.x в новости сказано что 25 октября в 14 по к Гринвичу (GTM) = 17 по Москве состоится релиз обновления 3.6.4 с важными исправлениям безопасности.

P.S переименуйте топик. а то домохазяйки сейчас пойдут 1.0 ставить.
Записан
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Re: В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт
« Ответ #29 : 22.10.2016, 23:32:15 »
Цитата: al707 от 22.10.2016, 01:36:54
Не понял, а где сказано, что уязвимость относится к версиям 3.6.x ?
Или это следует из смены только последней цифры в номере релиза?

Судя по всему, уязвимость охватывает всю линейку 3.x (а может ещё и 2.5-1.5), в том числе и 3.6.x. Срочное обновление (а не патч для legacy версий) это подтверждает.
Записан
1 2  Все   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

 Ответов: 1
Просмотров: 1011 		Последний ответ 25.05.2023, 08:49:57
от Театрал
Скрипты защиты Joomla 4

Автор mister_boy

 Ответов: 6
Просмотров: 1150 		Последний ответ 16.05.2023, 16:38:58
от mister_boy
Поставил Joomla 4. Хостинг nic.ru стал ругаться на ошибки безопасности

Автор Oleg+

 Ответов: 5
Просмотров: 1395 		Последний ответ 13.09.2021, 09:23:28
от Oleg+
Joomla 1.5 и 2.5 на одном хостинге

Автор andreU

 Ответов: 28
Просмотров: 13112 		Последний ответ 25.04.2021, 19:42:48
от rsn
Заражены файлы картинок движка Joomla 3

Автор krog

 Ответов: 5
Просмотров: 1287 		Последний ответ 16.04.2021, 08:16:45
от Taatshi