Вышел релиз безопасности Joomla! 3.6.5

  • 79 Ответов
  • 3519 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

b2z

  • *****
  • 7450
  • 741
  • Разраблю понемногу


Фиксы уязвимостей

Высокий приоритет ядра — повышение привилегий (версии Joomla! 1.6.0-3.6.4)
Низкий приоритет ядра — проблема безопасности загрузки (версии Joomla! 3.0.0-3.6.4)
Низкий приоритет ядра — раскрытие информации (версии Joomla! 3.0.0-3.6.4)

*

Septdir

  • *******
  • 2138
  • 106
  • JoomlaZen
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #1 : 14.12.2016, 13:16:45 »
Кстати вопрос такой. в последнее время стал весьма актуален. Кто как отслеживает выход обновления?
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
________
Мои Контакты | JoomlaZen

*

b2z

  • *****
  • 7450
  • 741
  • Разраблю понемногу
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #2 : 14.12.2016, 13:19:16 »
Кстати вопрос такой. в последнее время стал весьма актуален. Кто как отслеживает выход обновления?
В 3.6 есть же плагин, который шлёт email, если есть обновление.

*

Septdir

  • *******
  • 2138
  • 106
  • JoomlaZen
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #3 : 14.12.2016, 13:27:36 »
В 3.6 есть же плагин, который шлёт email, если есть обновление.
А еще?
Поясню почему.
В этот раз мне ничего не пришло. Хотя я спецом подключил только к 1 сайту ибо однажды уже под утанул в письмах.  Так что system/updatenotification меня не радует

Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
________
Мои Контакты | JoomlaZen

Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #4 : 14.12.2016, 13:30:34 »
Там интервал проверки вроде большой, может и через неделю прислать.
Для 2.5 патчей еще нету?
« Последнее редактирование: 14.12.2016, 13:33:51 от ProtectYourSite »


*

effrit

  • *****
  • 7441
  • 815
  • effrit.com
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #6 : 14.12.2016, 15:31:00 »
а кто баннером форумным заведует (на главной странице который)?
там до сих пор висит красная угроза в виде 3.6.4 :)

*

maxpa

  • ***
  • 65
  • 2
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #7 : 14.12.2016, 20:44:55 »
Обновил с десяток сайтов - полет нормальный - обновилось без проблем.

*

b2z

  • *****
  • 7450
  • 741
  • Разраблю понемногу
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #8 : 15.12.2016, 01:33:21 »
Вроде как сделали патч для 2.5.28. Я лично не проверял, так как не знаю, как воспроизвести уязвимость  ::)
http://dev.virtuemart.net/attachments/download/1036/Joomla2.5.28-20161214PATCH.zip

*

Sulpher

  • *******
  • 2131
  • 374
  • Шаблоны и расширения Joomla
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #9 : 15.12.2016, 11:27:00 »
Дим, спасибо за полезную ссылку на патч для J2.5.28. Думаю, нужно в комментариях к анонсам упомянуть данный неофициальный патч. (у многих есть хотя бы один сайт на J2.5)

*

b2z

  • *****
  • 7450
  • 741
  • Разраблю понемногу
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #10 : 15.12.2016, 12:14:55 »
Дим, спасибо за полезную ссылку на патч для J2.5.28. Думаю, нужно в комментариях к анонсам упомянуть данный неофициальный патч. (у многих есть хотя бы один сайт на J2.5)
Так и сделал.

*

dmitry_stas

  • ********
  • 9651
  • 929
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #11 : 15.12.2016, 13:31:30 »
Я лично не проверял, так как не знаю, как воспроизвести уязвимость
нужен доступ в админку с правами администратора. можно повысить до суперадминистратора. конечно хорошо, что выпустили патч, но на самом деле это далеко не тоже самое, что было в прошлом декабре.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

zikkuratvk

  • ********
  • 4016
  • 268
  • Разрабатываем для Joomla
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #12 : 15.12.2016, 14:40:30 »
нужен доступ в админку с правами администратора. можно повысить до суперадминистратора. конечно хорошо, что выпустили патч, но на самом деле это далеко не тоже самое, что было в прошлом декабре.
Суть в том что для сайтов на Joomla 3, которые уже сломали и сделали записи администраторов теперь легко можно сделать и супер-администраторов... Но в целом это все равно попадает под класс уязвимостей с высоким приоритетом.
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg

*

dmitry_stas

  • ********
  • 9651
  • 929
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #13 : 15.12.2016, 15:05:52 »
ну да, конечно. это как не крути уязвимость, и закрыть дыру надо. но я имел в виду исключительно в разрезе J2.5, там то проблемы с созданием админов не было. поэтому скажем так для 99% сайтов на Ж2.5 где один администратор и никакого разделения прав в админке - это все пока не очень актуально. вплоть до того, пока не найдут возможность создать админа :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #14 : 15.12.2016, 15:11:51 »
Уязвимость которая сперва делает админов, а потом еще одна которая делает из них суперадминов. Совпадение?

*

shurakana

  • *****
  • 793
  • 43
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #15 : 15.12.2016, 15:33:00 »
Уязвимость которая сперва делает админов, а потом еще одна которая делает из них суперадминов. Совпадение?

Конечно совпадение.. А вообще, жить же как то надо..)
Эта подпись отображается внизу каждого Моего сообщения. Я также могу использовать BB код и смайлы.

*

ChaosHead

  • ********
  • 4666
  • 396
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #16 : 15.12.2016, 15:43:51 »
Походу на сайтах-визитках, где не нужны пользователи, нужно id админа менять с 42 на 1, а тип поля id ставить TINYINT(1), чтобы в принципе в базе нельзя было нового пользователя создать, потому, что он тупо не сохранится.
« Последнее редактирование: 15.12.2016, 15:47:50 от ChaosHead »

*

dmitry_stas

  • ********
  • 9651
  • 929
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #17 : 15.12.2016, 15:50:18 »
сохранится :) то ж не та единичка
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

ChaosHead

  • ********
  • 4666
  • 396
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #18 : 15.12.2016, 15:57:21 »
Какая не та?
Цитировать
Тип BOOLEAN является синонимом для TINYINT(1). Значение 1 рассматривается как истина (true), а 0 как ложь (false).
id там первичный ключ в _users

*

dmitry_stas

  • ********
  • 9651
  • 929
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #19 : 15.12.2016, 16:05:47 »
попробуйте создать тестовую табличку с primary TINYINT(1). вставите далеко не одно значение
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Elimelech

  • ***
  • 173
  • 2
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #20 : 16.12.2016, 03:26:11 »
Вроде как сделали патч для 2.5.28. Я лично не проверял, так как не знаю, как воспроизвести уязвимость  ::)
http://dev.virtuemart.net/attachments/download/1036/Joomla2.5.28-20161214PATCH.zip

насколько можно доверять этому патчу?

*

b2z

  • *****
  • 7450
  • 741
  • Разраблю понемногу
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #21 : 16.12.2016, 11:48:39 »
насколько можно доверять этому патчу?
Ну хуже от него по идее не должно быть - он от разработчика VirtueMart.
http://dev.virtuemart.net/projects/virtuemart/activity
Цитировать
12/14/2016
11:43 am Joomla2.5.28-20161214PATCH.zip
Patch for Joomla 2.5.28 with fixes for https://www.joomla.org/announcements/release-news/5693-joomla-3-6-5-released.html Max Milbers

*

Igr

  • ***
  • 41
  • 4
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #22 : 16.12.2016, 21:26:45 »
Может, кто подскажет? А то уже голова дымится  !
Вчера во время обновления на 3.6.5 произошел "забавный сбой" - статьи при клике на "подробнее" дают чистую страницу (ни превью ни чего). Превью выводится нормально. Уже поверху заливал 3.6.5 без инсталятора - воз и ныне там :(((

*

Septdir

  • *******
  • 2138
  • 106
  • JoomlaZen
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #23 : 16.12.2016, 21:28:41 »
Может, кто подскажет? А то уже голова дымится  !
Вчера во время обновления на 3.6.5 произошел "забавный сбой" - статьи при клике на "подробнее" дают чистую страницу (ни превью ни чего). Превью выводится нормально. Уже поверху заливал 3.6.5 без инсталятора - воз и ныне там :(((
Что по ошибкам, что в базе, кеш почистили?
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
________
Мои Контакты | JoomlaZen

*

Igr

  • ***
  • 41
  • 4
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #24 : 16.12.2016, 21:43:35 »
Кэш почищен, база в актуальном состоянии, варнингов и нотисов вроде нет...

*

Igr

  • ***
  • 41
  • 4
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #25 : 16.12.2016, 21:48:22 »
Могу ссылку на страницу кинуть - может какие мысли напросятся... А то уже склоняюсь к ному, чтобы все снести накатать заново. Благо пока проект еще молодой, можно сказать юный :)
http://anti-stress.su/index.php/blog

*

effrit

  • *****
  • 7441
  • 815
  • effrit.com
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #26 : 16.12.2016, 21:56:45 »
имхо, грабли или на уровне шаблона, или на уровне плагина.
попробуйте сменить шаблон на дефолтный протостар, для начала, чтобы сам шаблон исключить

*

Igr

  • ***
  • 41
  • 4
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #27 : 16.12.2016, 22:15:29 »
Шаблонами уже игрался, бестолку. По поводу плагина: "подробнее" со стороны статей работает - переход по ссылке есть. Только как-то криво открывает. Если "подробнее" не использовать - статья открывается полностью, но без превью, что неудобно. А где еще со стороны плагинов порыть?

*

effrit

  • *****
  • 7441
  • 815
  • effrit.com
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #28 : 16.12.2016, 22:29:58 »
шаб неправильный подсказал, на beez попробуйте, у него вывод статьи перекрывается собственным.

по плагинам. возможно, что какой-то из них съедает текст в режиме полного показа.
но пока проверьте шаб

*

Igr

  • ***
  • 41
  • 4
Re: Вышел релиз безопасности Joomla! 3.6.5
« Ответ #29 : 16.12.2016, 22:44:41 »
Уже, бестолку :(