Форум русской поддержки Joomla!® CMS
22.07.2017, 04:51:58 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Как устранить уязвимость CVE-2016-9838 в Joomla 2.5.28?

 (Прочитано 1139 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Elimelech
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 172


« : 16.12.2016, 01:56:52 »

Недавно нашли серьзную уязвимость CVE-2016-9838 и высокую степень важности - https://developer.joomla.org/security-centre.html

Что делать тем у кого стоит Joomla 2.5.х… не имею возможности обновиться до Joomla 3….  ?
Записан
voland
Профи
********

Репутация: +518/-98
Online Online

Пол: Мужской
Сообщений: 9823


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #1 : 16.12.2016, 02:09:09 »

В теме про релиз 3.6.5 выкладывали ссылку на патч
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3766


skype aqaus.com


« Ответ #2 : 16.12.2016, 02:09:26 »

http://joomlaforum.ru/index.php/topic,333678.msg1682620.html#msg1682620

Поиск творит чудеса
Записан
Elimelech
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 172


« Ответ #3 : 16.12.2016, 02:26:40 »


насколько можно доверять этому патчу?
Записан
draff
Практически профи
*******

Репутация: +171/-5
Offline Offline

Пол: Мужской
Сообщений: 2791


step by step


« Ответ #4 : 16.12.2016, 09:40:24 »

А юзеры есть на сайте ? Если нет юзеров, и регистрация запрещена, то закрыть полностью com_user
в файле /components/com_users/user.php
Код:
defined('_JEXEC') or die;
// Access check.
if (!JFactory::getUser()->authorise('core.manage', 'com_users')) {
    return JError::raiseWarning(404, JText::_('JERROR_ALERTNOAUTHOR'));
}
domain/?option=com_users&view=login or view=register получает
Цитировать
Для просмотра этой информации необходимо пройти авторизацию
Записан
dmitry_stas
Профи
********

Репутация: +922/-6
Offline Offline

Сообщений: 9699



« Ответ #5 : 16.12.2016, 11:36:43 »

на всякий случай напишу и в этой теме. CVE-2016-9838 позволяет администратору получить права суперадминистратора. все. с фронта ей воспользоваться нельзя. поэтому закрыть регистрацию - это конечно кардинально, но конкретно для данного случая - совершенно излишне
Записан
Den-V
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 8


« Ответ #6 : 16.12.2016, 15:44:41 »

Приветствую. В общем, решил загрузить вышеозначенный патч для Joomla 2.5.28. Загрузка прошла нормально. После загрузки в панели выдалось сообщение
Цитировать
Checksum for existing session.php matches patch file - not overwriting
          Checksum for existing debug.php matches patch file - not overwriting
          Установка компонента успешно завершена.
Думаю, сразу проверять создание и добавление материалов на сайт нет смысла, как понимаю, обновление не должно зацепить часть движка, отвечающую за это. Единственный баг, это пустая страница браузера в админке при попытке перехода в менеджер пользователей. В адресной строке браузера отображается: адрес сайта/administrator/index.php?option=com_users Может кто в курсе, как исправить?
Записан
voland
Профи
********

Репутация: +518/-98
Online Online

Пол: Мужской
Сообщений: 9823


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #7 : 16.12.2016, 15:46:28 »

Приветствую. В общем, решил загрузить вышеозначенный патч для Joomla 2.5.28. Загрузка прошла нормально. После загрузки в панели выдалось сообщение Думаю, сразу проверять создание и добавление материалов на сайт нет смысла, как понимаю, обновление не должно зацепить часть движка, отвечающую за это. Единственный баг, это пустая страница браузера в админке при попытке перехода в менеджер пользователей. В адресной строке браузера отображается: адрес сайта/administrator/index.php?option=com_users Может кто в курсе, как исправить?
а Сtrl-F5 помогает?
Записан
Den-V
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 8


« Ответ #8 : 16.12.2016, 15:49:22 »

а Сtrl-F5 помогает?
Нет, не помогает. Может в файле /components/com_users/users.php что-то подкорректировать. Сам не силен в этом, потому спрашиваю на официальном форуме.
« Последнее редактирование: 16.12.2016, 15:56:43 от Den-V » Записан
voland
Профи
********

Репутация: +518/-98
Online Online

Пол: Мужской
Сообщений: 9823


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #9 : 16.12.2016, 15:51:41 »

Нет, не помогает.
Только что поставил на один сайтик с 2.5

Всё работает
Записан
Den-V
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 8


« Ответ #10 : 16.12.2016, 15:53:43 »

Только что поставил на один сайтик с 2.5
Всё работает
Может это дело в файле users.php. Какой текст этого файла у Вас? Хотя этот файл в пакете патча, отличий быть не должно.
Записан
dmitry_stas
Профи
********

Репутация: +922/-6
Offline Offline

Сообщений: 9699



« Ответ #11 : 16.12.2016, 16:14:16 »

пустая страница браузера в админке при попытке перехода в менеджер пользователей.
показ ошибок php включите
Записан
Den-V
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 8


« Ответ #12 : 16.12.2016, 16:19:26 »

Сейчас найду, как это сделать, и включу.
Записан
Den-V
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 8


« Ответ #13 : 16.12.2016, 16:30:38 »

показ ошибок php включите
В файле configuration.php строка public $error_reporting = 'default'; изменена на public $error_reporting = 'maximum'; Так включено? И какие дальнейшие действия, где что смотреть?
Записан
voland
Профи
********

Репутация: +518/-98
Online Online

Пол: Мужской
Сообщений: 9823


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #14 : 16.12.2016, 16:46:13 »

белый экран
Записан
Den-V
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 8


« Ответ #15 : 16.12.2016, 16:56:13 »

Все нормально. Уже исправил. Это я сам намутил с файлами в админке, не туда забил код. )) 
Записан
Elimelech
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 172


« Ответ #16 : 16.12.2016, 17:29:59 »

у меня тоже патч нормально установился, и даже ничего не отвалилось! Azn
Записан
Langoliers
Завсегдатай
*****

Репутация: +67/-2
Offline Offline

Пол: Мужской
Сообщений: 695


Если б Я изучал людей, то был бы паразитологом


« Ответ #17 : 10.01.2017, 13:57:36 »

Мое внезапное возвращение на форум.
на всякий случай напишу и в этой теме. CVE-2016-9838 позволяет администратору получить права суперадминистратора. все. с фронта ей воспользоваться нельзя. поэтому закрыть регистрацию - это конечно кардинально, но конкретно для данного случая - совершенно излишне
Нет. Можно еще и файлы заливать. Мне вчера залили.

А вот у меня проблема: после того как пропатчил - не могу теперь редактировать пользователей. Пишет, У вас нет прав на доступ к данной странице по прямой ссылке. Установлен Slogin еще. Но редактировать не дает даже собственный профиль. Суперадмина
Оказалось еще и материалы изменять теперь нельзя.

UPD: чистка кеша и куки помогает, лол. А вот как мне файл залили - вопросец, ведь написано, что заливка шеллов работает только с 3.0
« Последнее редактирование: 10.01.2017, 14:18:20 от Langoliers » Записан
dmitry_stas
Профи
********

Репутация: +922/-6
Offline Offline

Сообщений: 9699



« Ответ #18 : 10.01.2017, 14:33:16 »

Нет. Можно еще и файлы заливать. Мне вчера залили.
это печально. только при чем тут CVE-2016-9838 - непонятно.
Записан
Langoliers
Завсегдатай
*****

Репутация: +67/-2
Offline Offline

Пол: Мужской
Сообщений: 695


Если б Я изучал людей, то был бы паразитологом


« Ответ #19 : 11.01.2017, 07:08:16 »

это печально. только при чем тут CVE-2016-9838 - непонятно.
Да верно, это 9836. Хм, интересно тогда.
Записан
snikolai
Давно я тут
****

Репутация: +19/-0
Offline Offline

Сообщений: 208


« Ответ #20 : 10.05.2017, 16:59:01 »

Не устанавливается патч почему-то..

Код:
Checksum for existing session.php matches patch file - not overwriting
Checksum for existing debug.php matches patch file - not overwriting
Checksum for existing component.php matches patch file - not overwriting
Checksum for existing registration.php matches patch file - not overwriting
Checksum for existing user.php matches patch file - not overwriting
Ошибка при установке компонента
Записан
voland
Профи
********

Репутация: +518/-98
Online Online

Пол: Мужской
Сообщений: 9823


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #21 : 10.05.2017, 17:32:15 »

Видимо прав на перезапись нету
Записан
snikolai
Давно я тут
****

Репутация: +19/-0
Offline Offline

Сообщений: 208


« Ответ #22 : 10.05.2017, 18:27:53 »

755 права на папках
Записан
dmitry_stas
Профи
********

Репутация: +922/-6
Offline Offline

Сообщений: 9699



« Ответ #23 : 10.05.2017, 18:31:22 »

а на файлах? ну поставьте 777, проще всего ж проверить. поможет - значит что-то с владельцем файлов.
Записан
snikolai
Давно я тут
****

Репутация: +19/-0
Offline Offline

Сообщений: 208


« Ответ #24 : 10.05.2017, 19:08:01 »

Подумал, может вручную файлы заменить?..
5 файлов

менял на 777 тоже самое..
« Последнее редактирование: 10.05.2017, 19:13:32 от snikolai » Записан
snikolai
Давно я тут
****

Репутация: +19/-0
Offline Offline

Сообщений: 208


« Ответ #25 : 10.05.2017, 19:30:46 »

Заменил вручную..
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet