Новый релиз безопасности Joomla! 3.4.6 - Joomla 3.x: Установка, обновление и настройка

Это релиз безопасности.
Всем срочно обновляться.
Уязвимость затрагивает также версии с 1.5, патчи будут доступны ближайщее время

https://github.com/PhilETaylor/Joomla1.5.999/commit/95741d8a2bbb92ea3c8aeaa5427fec757e0c6895
Патч для ветки 1.5

libraries/joomla/session/session.php измененный для ветки 1.5

https://github.com/PhilETaylor/Joomla2.5.999/commit/39b8e092fea20ce4c0873384466331fe3839a4ce
для 2,5

с fbr поссорились, фильтрацию поправили 

Патчи на https://github.com/PhilETaylor/ НЕ ОСНОВАНЫ на официальных патчах https://github.com/joomla/joomla-cms/releases/download/3.4.6/SessionFix15v1.zip.zip и https://github.com/joomla/joomla-cms/releases/download/3.4.6/SessionFix25v1.zip. В чем разница - нужно изучать.

Тоже сделал ручками архивы - пусть будут.

Опять будут неприятности со взломами у людей.

@Physicist
Нет они основаны на фильтре сессий, во всех версиях которые исправлены

Выяснил. Не знаю как у вас, но у меня с гитхаба вместо SessionFix15v1.zip загружается то UploadFix15v3.zip (это старый багфикс для 1.5), то он же, но уже под именем SessionFix15v1.zip или SessionFix15v1.zip.zip. Возможно, они сейчас в спешке что-то еще обновляют.

А вот к SessionFix25v1.zip претензий нет, там всё верно.

Я выше дал ссылку - просто стянул с гитхаба файл session.php (тот что несколько минут как пропатчен) и запаковал со структурой.
3.4.6 вообще не нашел - взял этот файлик с обновленного сайта.

после автообновы версия J осталась 3.4.5 - опять проблемы со следующей обновой будут

Да с версией норм вроде всё:
Версия Joomla!   Joomla! 3.4.6 Stable [ Ember ] 15-December-2015 11:11 GMT

Подтверждаю что всё норм отображается - 3.4.6

после автообновы версия J осталась 3.4.5 - опять проблемы со следующей обновой будут

так она у них и не выложена на главной, просто релиз безопасности, видимо в спешке еще не доделан как в прочем всегда

Я выше дал ссылку - просто стянул с гитхаба файл session.php (тот что несколько минут как пропатчен) и запаковал со структурой.
3.4.6 вообще не нашел - взял этот файлик с обновленного сайта.

битые ссылки на патчи.

http://www.joomla15.ru/%D0%BA%D0%B0%D0%BA-%D0%B4%D0%B5%D0%BB%D0%B0%D1%82%D1%8C/security/files/patch346/1.5/session.zip

Not Found

The requested URL /как-делать/security/files/patch346/1.5/session.zip was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

битые ссылки на патчи.

http://www.joomla15.ru/%D0%BA%D0%B0%D0%BA-%D0%B4%D0%B5%D0%BB%D0%B0%D1%82%D1%8C/security/files/patch346/1.5/session.zip

Давно надо блог обновить ))
Поправил на абсолютные, теперь надеюсь на слетят, спасибо за замечание

утомительно следить за патчами для EOL версий. оставил 1.5.26 на своем сервере как есть. в файлах за неделю нет изменений. скрипты БД пока не сравнивал - сайты вроде работают. половлю рыбку ради интереса. сломают - будет аргумент для обоснования миграции владельцу. давно убеждаю.

А как с компонентами, модулями, плагинами? Проблем нет? А то боюсь уже обновлять.

стараюсь сводить к минимуму количество сторонних компонентов, особенно бесплатных.

А как с компонентами, модулями, плагинами? Проблем нет? А то боюсь уже обновлять.

Для этого и форум. Пока не замечено проблем, кроме одной непонятности на nichost, но там вроде нестандартные настройки пыха.

А как с компонентами, модулями, плагинами? Проблем нет? А то боюсь уже обновлять.

Всё нормуль Я не заметил каких либо проблем.

Для этого и форум. Пока не замечено проблем, кроме одной непонятности на nichost, но там вроде нестандартные настройки пыха.

вряд ли. там наверняка тысячи сайтов на J 3. и все норм обновились, иначе rucenter уже бы вчера-сегодня рухнул.

Хостеры тоже не спят и мониторят ситуцию с популярными движками, многие просто отсекают файерволом попытки взлома.

Ой, спасибо парни, душенку мою успокоили)) Пойду бекапы делать и обновляться тогда


UPD: Обновилась. И всё ему не так...

Замените "резил" на "релиз" в названии темы.

Описание уязвимости на русском: https://xakep.ru/2015/12/15/joomla-0day/

рекомендуется поискать в логах “JDatabaseDriverMysqli” или “O:” в User Agent, проверив, не был ли уже применен эксплоит

Мдаа... 10 лет...