В Joomla! 3.6.x была найдена критическая уязвимость. Релиз безопасности запланирован на 25 окт. 2016

  • 45 Ответов
  • 1555 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

Официальная новость

Разработчики настоятельно рекомендуют обновить Joomla! как можно скорее после выхода релиза безопасности 25 октября 2016 года. На данный момент информация об уязвимости высокого уровня держится в секрете.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг


*

Оффлайн SeBun

Сколько сейчас после этой новости эксплойтов запустят.......... а еще 4 дня ждать. Ожидаю повышения цен на валидол и крепкий алкоголь.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование
Ник занят | По личным вопросам не консультирую

*

Оффлайн dmitry_stas

ну тут как бы палка о двух концах... лучше наверное сообщить заранее, чтобы было время у владельцев сайтов прочесть, отреагировать, и т.п. потому что зная только, что такая возможность есть, за 4 дня навряд ли эксплоит будет реализован. а вот после выхода фикса - 100% будет реализован :) и тогда уже кто не успел - тот опоздал :) а так хотя бы вероятность что эта новость разойдется по сообществам вроде форумов, и о ней узнает максимальное количество юзеров, и сразу после выхода фикса обновятся.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Онлайн AlexeyGal

есть плагин который при выходе красного уровня Хотфиксов сам бы накатывал хотфикс на платформу?
Так как после выхода предыдущего хотфикса атаки на сайты пошли уже через !пол часа после выхода хотфикса.
А если кто-то через час обновился- то уже произошел взлом!
« Последнее редактирование: 21.10.2016, 21:12:29 от AlexeyGal »


есть плагин который при выходе красного уровня Хотфиксов сам бы накатывал хотфикс на платформу?
Так как после выхода предыдущего хотфикса атаки на сайты пошли уже через пол часа! после выхода хотфикса.
А если кто-то через час обновился- то уже произошел взлом!
Возможно, сегодня необходимо подготовиться и сделать резервную копию.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

Онлайн AlexeyGal

А кто сказал, что эксплоит доступен публично?

Также и в прошлый раз- не было доступно публично эксплоитов, но в логах сервера Строка Атаки с SQL запросом была очевидно написана. Атаки пошли через пол часа после выхода хотфикса причем- по десяткам моих проектов сразу, так как они в ТОПе Яндекса. Следовательно атакам максимально подвержены ТОПовые сайты, а значит тут нужна Оперативность- плагин, который накатывает обновления сразу после его выхода, так как просто физически я не успеваю накатить обновления на Все свои проекты за пол часа Вручную!

*

Онлайн AlexeyGal

Возможно, сегодня необходимо подготовиться и сделать резервную копию.

Толку делать бекапы? если целью является не заливка файлов, а кража базы пользователей и Клиентов с паролями и др. Наверное стоит вообще отключить все проекты, до обновления.

*

Оффлайн b2z

  • *****
  • 7449
  • [+]739 / [-]0
  • Разраблю понемногу
    • Просмотр профиля
    • NorrNext - расширения для Joomla! и Pagekit
а значит тут нужна Оперативность- плагин, который накатывает обновления сразу после его выхода
Ну так напишите такой плагин и предложите влить его в ядро. В чём проблема?

*

Оффлайн dmitry_stas

А кто сказал, что эксплоит доступен публично?
это мне вопрос? если мне - то я ж наоборот, как раз говорю что за 4 дня владея только информацией о том, что эксплоит возможен, его навряд ли сделают. дыру ж найти еще надо. но зато у юзеров будет время подготовится. хотя конечно при неудачном стечении обстоятельств может быть и наоборот :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Онлайн voland

  • ********
  • 9335
  • [+]520 / [-]101
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
А хорошая идея про плагин. Есть еще 3 с небольшим дня его написать.

*

Онлайн AlexeyGal

Ну так напишите такой плагин и предложите влить его в ядро. В чём проблема?

Пишут что более 75 миллионов закачек Joomla, сайтов путь 5 миллионов.
1. если на установку Хотфикса уходит 1мин то Экономия 83.333 Человеко-Часов времени!
2. задержка обновления Вручную даже на пол часа- несет угрозу утечки баз данных, клиентов, кредитных карт и др. что является большим минусом платформы для серьезных проектов.

Я не вхожу в узкий круг разработчиков Joomla, в отличие от Вас. Вот есть еще 4 дня осталось до обновления, было бы отлично написать такой ДО его выхода и предложить форумчанам установить, чтобы скорость обновления повысить и произошла сразу десятков тысяч сайтов. Экономия времени жизни форумчанам.
« Последнее редактирование: 21.10.2016, 20:41:13 от AlexeyGal »

*

Оффлайн dmitry_stas

А хорошая идея про плагин. Есть еще 3 с небольшим дня его написать.
это ж по хорошему надо чтобы сайты пушились. а Joomla еще до этого не дошла :) да и навряд ли дойдет когда нибудь. и так хорошо, на мыло сообщает, что обновление есть...
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Онлайн AlexeyGal

у юзеров будет время подготовится.

К чему готовиться? в прошлый раз строка атаки в Открытом Виде была доступна в логах сервера через пол часа после выхода Хотфикса.
Тут нужна автоматизация плагином платформы, а не каждому выдумывать свой велосипед обновлений!
Не нужно было ничего писать, достаточно сделать простой запрос в В адресной строке сайта Вручную чтобы залить любой файл.
« Последнее редактирование: 21.10.2016, 20:13:03 от AlexeyGal »

*

Оффлайн dmitry_stas

Я не вхожу в узкий круг разработчиков Joomla, в отличие от Вас.
зато мы в отличие от вас не входим в топ пользователей по количеству и качеству проектов. толкайте идею на официальном форуме, к вам по любому должны прислушаться
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн dmitry_stas

в прошлый раз строка атаки в Открытом Виде была доступна в логах сервера через пол часа после выхода Хотфикса.
вот чтобы этого не было и в этот раз - вам сообщили о выходе фикса за 4 дня. ждите вторника 2-х часов - и в 2:01 обновляйтесь. и когда через пол часа в логах появятся "строки атаки" - вы уже защищены
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн AlekVolsk

А хорошая идея про плагин. Есть еще 3 с небольшим дня его написать.
http://watchful.li

*

Онлайн AlexeyGal

зато мы в отличие от вас не входим в топ пользователей по количеству и качеству проектов.

Если бы я не отслеживал темы Форума, то узнать о дыре проблемно. Узнало об угрозе лишь ~20человек просмотревших тему.
Как быть с владельцами сайтов, которые не читают форум и бюллетени безопасности каждый день по три раза?
Это тысячи владельцев сайтов, которые также заинтересованы в закрытии дыр, но они не узнают о ней до выхода хотфикса.
А до этого они бы могли сделать хотя бы бекап! или отключить сайт вообще, чтобы не было риска утечки базы клиентов

Почему бы не сделать в платформе рассылку админам сайтов бюллетеня безопасности платформы о найденных дырах?
Сроках исправления с возможностью автоматического исправления?
« Последнее редактирование: 21.10.2016, 20:29:22 от AlexeyGal »

*

Оффлайн AlekVolsk

Почему бы не сделать в платформе рассылку админам сайтов бюллетеня безопасности платформы о найденных дырах?
Сроках исправления с возможностью автоматического исправления?
для этого существует подписка на оф.новости на оф.портале, иначе как бы другие узнали и оперативно поделились новостью здесь?

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Хорошая новость! качаем текущий экземпляр, ждем фикса, качаем обновленный вариант, сравниваем, анализируем, пишем сплоит, атакуем зоны врагов России)))
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн AlekVolsk

Хорошая новость! качаем текущий экземпляр, ждем фикса, качаем обновленный вариант, сравниваем, анализируем, пишем сплоит, атакуем зоны врагов России)))
а вот и рецептик )))

*

Оффлайн dmitry_stas

для этого существует подписка на оф.новости на оф.портале
ну вот, теперь плагина точно не будет :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн dmitry_stas

Хорошая новость! качаем текущий экземпляр, ждем фикса, качаем обновленный вариант, сравниваем, анализируем, пишем сплоит, атакуем зоны врагов России)))
а то такого не произошло бы, если бы новости не было :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

Толку делать бекапы? если целью является не заливка файлов, а кража базы пользователей и Клиентов с паролями и др. Наверное стоит вообще отключить все проекты, до обновления.

Как правило, база пользователей нафиг никому не нужна (если только пароли суперадминистраторов, но их можно поменять в любой момент). Основной целью взлома является создание ботнетов, которые отправляют спам и участвуют в ДДОС атаках от Вашего сервера. Ну ещё перенаправление трафика ведётся.

Поэтому строгая защита на запись файлов сайта и бекапы сведут опасность к минимуму. Ну и пароль от базы желательно сменить после обновления.

Хотя если на вашем сайте пользователи самостоятельно размещают контент с фронта, то здесь возможны проблемы в виде постинга ссылок и прочего вирусного контента, хотя это маловероятно (пароли всех пользователей хранятся в хешированном виде).
« Последнее редактирование: 21.10.2016, 21:21:14 от Филипп Сорокин »
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг


*

Оффлайн dmitry_stas

Филипп, ну что вы? как это базы пользователей никому не нужны? десятки топ проектов по всей стране и не только. вы представляете, какие там клиенты? это ваш, мой, да что говорить - почти любой сайт ради спама поломают. но тут же речь о другом уровне совсем.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

Филипп, ну что вы? как это базы пользователей никому не нужны? десятки топ проектов по всей стране и не только. вы представляете, какие там клиенты? это ваш, мой, да что говорить - почти любой сайт ради спама поломают. но тут же речь о другом уровне совсем.
Не представляю, какую ценную информацию можно выудить из таблицы `users` кроме имени пользователя и адреса эл. почты. Надеюсь, технические специалисты топовых проектов не додумались хранить номера кредиток в базе? ))) Если нет, то при таком подходе им вообще ничего не поможет.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

Онлайн AlexeyGal

...десятки топ проектов по всей стране и не только. вы представляете, какие там клиенты? ...

... Надеюсь, технические специалисты топовых проектов не додумались хранить номера кредиток в базе? ))) Если нет, то при таком подходе им вообще ничего не поможет.

По видимому Вам нравится кидать камушки в меня. :)
Однако... как бы Вам смешно не было, мои проекты действительно в ТОП 5 яндекса, некоторые Первые в выдаче, посещаемость держится от 100чел до 1000чел в день и выше. Так что вопросы безопасности меня интересуют.

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Не представляю, какую ценную информацию можно выудить из таблицы `users` кроме имени пользователя и адреса эл. почты. Надеюсь, технические специалисты топовых проектов не додумались хранить номера кредиток в базе? ))) Если нет, то при таком подходе им вообще ничего не поможет.
Представте к примеру тематический сайт оптовых продаж парфюмерии, где как правило, регистрируются и покупают заинтересованные лица... злоумышленник, сливает базу, в лучшем случае, когда клиентов переманят, в худшем, когда мутят фейки на продажу аналогичного товара и при грамотно составленом тексте в спаме, определенный процент обязательно поведется и купит!

Ну да... какую же ценную информацию может представлять юзерская таблица, не понимаю ;D
Цитировать
Надеюсь, технические специалисты топовых проектов не додумались хранить номера кредиток в базе? ))) Если нет, то при таком подходе им вообще ничего не поможет.
Щас не обязательно хранить данные в БД, щас все это дело снифается в момент заполнения форм, покупателем, погуглите, в инете полно инфы на эту тему, достаточно всего лишь шела, даже с ограниченными правами!
« Последнее редактирование: 21.10.2016, 22:14:40 от winstrool »
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям