0 Пользователей и 1 Гость просматривают эту тему.
  • 14 Ответов
  • 3417 Просмотров
*

Elimelech

  • Захожу иногда
  • 200
  • 2 / 0
совсем недавно была выявлена серьозная уязвимость при использовании протокола LDAP для аутентификации и затрагивает версии от 1.5 до 3.7.5. LDAP реализован в Joomla через «родной» плагин аутентификации, активировать которой можно в менеджере плагинов. 
Как закрыть данную дыру в старой версии Джумла?
Спасибо за подсказку!
*

ProtectYourSite

  • Завсегдатай
  • 1326
  • 83 / 4
  • Безопасность вебсайтов
*

Elimelech

  • Захожу иногда
  • 200
  • 2 / 0
А Вы используете ldap?
нет, а что если я не использую его, то можно спасть спокойно?
*

dmitry_stas

  • Легенда
  • 11586
  • 1111 / 7
главное кипишу побольше? :) проблема будет только при активированном плагине LDAP. http://www.securitylab.ru/news/488660.php
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

SeBun

  • Живу я здесь
  • 3599
  • 231 / 3
  • @SeBun48
Как закрыть данную дыру в старой версии Джумла?
Обновить на новую.

Ибо там помимо этой уязвимости много других. А так же уязвимы расширения. Это как пытаться ремонтировать ржавую лодку - сколько не затыкай, она все равно протекает.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

voland

  • Легенда
  • 9869
  • 544 / 107
  • Эта строка съедает место на вашем мониторе
Обновить на новую.

Ибо там помимо этой уязвимости много других. А так же уязвимы расширения. Это как пытаться ремонтировать ржавую лодку - сколько не затыкай, она все равно протекает.

Я что-то пропустил тот сакральный момент, когда ТС сообщил используемую им версию движка.
*

SeBun

  • Живу я здесь
  • 3599
  • 231 / 3
  • @SeBun48
Я что-то пропустил тот сакральный момент, когда ТС сообщил используемую им версию движка.
Гадая, я вызвал духов, и они сказали, что, судя по заголовку, это 1.5  ;D
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

voland

  • Легенда
  • 9869
  • 544 / 107
  • Эта строка съедает место на вашем мониторе
Ну 1.5 с патчами вполне себе надежна
*

SeBun

  • Живу я здесь
  • 3599
  • 231 / 3
  • @SeBun48
Ну 1.5 с патчами вполне себе надежна
Совсем нет, готов спорить. Даже если сам двиг пропатчен, не стои забывать, что он обвешан кучей расширений, как новогодняя елка. Да и нет в тех патчах заплаток под многие уязвимости. Не стану утверждать, но по моему баг с LDAP они тоже не закрывают.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

voland

  • Легенда
  • 9869
  • 544 / 107
  • Эта строка съедает место на вашем мониторе
Совсем нет, готов спорить. Даже если сам двиг пропатчен, не стои забывать, что он обвешан кучей расширений, как новогодняя елка. Да и нет в тех патчах заплаток под многие уязвимости. Не стану утверждать, но по моему баг с LDAP они тоже не закрывают.
Не спорю, что в куче расширений есть дырки. Но вот есть ли в самом ядре?
LDAP - опустим, на 99,99% сайтов он выключен.
*

SeBun

  • Живу я здесь
  • 3599
  • 231 / 3
  • @SeBun48
Не спорю, что в куче расширений есть дырки. Но вот есть ли в самом ядре?
Даже если ядро было бы идеально, в 99% сайт не состоит только из одного ядра и дефлотного протостара.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
@SeBun
Хватит уже писать то что не знаете, 1.5.* живут на многих крупных коммерческих высоко посещаемых проектах десятилетие уже и владельцы даже не собираются их обновлять и менять. И нету там ни каких уязвимостей, а если есть что то стороннее так за ним надо следить/дорабатывать как и сам движок.
*

SeBun

  • Живу я здесь
  • 3599
  • 231 / 3
  • @SeBun48
Хватит уже писать то что не знаете
А в чем я не прав? В том, что в моей лично практике еще не встречалось НИ ОДНОГО движка на Joomla совсем без расширений. Уверен, у ТС он то же не голый. Вы можете дать ему заплатки для ВСЕХ его расширений или предложить очистить ядро от них? Тогда зачем обвинять меня в незнании? Я ничуть не сомневаюсь в вашей компетенции, ни и мою не нужно опускать ниже плинтуса. Ок, я оставляю эту тему.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
и мою не нужно опускать ниже плинтуса
Не затрагиваю лично ни чью компетенцию, пишу то что вижу, в эпоху появления j 1.6-1.7 и потом переходе на 2.5, очень многие старожилы так и писали как вы дабы заработать на миграции. После поняв что это копеечная трата времени и появлении у них же другой работы и видов заработка, предлагали еще и зная что обновление нужно, но и старое будет работать просто почистив и закрыв дыры (хотя закрыть и не каждый мог в отличие даже от вас) не получится больше "сорвать", потихоньку перестали этим заниматься, приходящие новички перенимают эту не золотую жилу.

Все очень просто, любую версию движка можно обезопасить, если не успеть и произошёл взлом, то вылечить и обезопасить, минимум вложений и максимум отдачи. Сайт не просидает в ПС ни каких глобальных изменений не требует, и работает как работал. Есть сайты которыми многие поседневно пользуются и посещаемость их зашкаливает, а они работают даже не на версии 1.5.26 а на тех 1.5.* которые были с критическими уязвимостями, если не верите, доказывать не собираюсь, но факт остается фактом. А то что вы предлагаете миграцию на 3.* так можете сами себе на вопрос об уязвимостях за последний год и ответить сколько их было три, четыре, или более, а сколько с момента выхода как 2.5.* так и 3.* и сколько за это же время на 1.5.*. Ответ прост на завершающей линейку 1.5.26 было всего одна критическая и две так себе, на остальных за это же время намного более очень, только критических более десятка.
*

SeBun

  • Живу я здесь
  • 3599
  • 231 / 3
  • @SeBun48
в эпоху появления j 1.6-1.7 и потом переходе на 2.5, очень многие старожилы так и писали как вы дабы заработать на миграции.
Я тут миграцию никому не навязываю. И даже когда вопрос встает, я не навязываю себя в качестве исполнителя. Ибо это не является моим основным источником дохода. Просит человек - делаю. Не просит - пишите в коммерческий раздел. Вы хоть одну мою тему тут видели с предложение по миграции или другими услугами? Только в подписи, скромно и без ссылок.

Все очень просто, любую версию движка можно обезопасить
Да, но сайт не из одного движка состоит, и вы это прекрасно понимаете. Если у человека там 100500 расширений установлено, я не буду патчить каждое из них, это не та овчинка, которую нужно выделывать (за очень редким исключением, которое мне пока в практике не встречалось).

А то что вы предлагаете миграцию на 3.* так можете сами себе на вопрос об уязвимостях за последний год и ответить сколько их было три, четыре, или более, а сколько с момента выхода как 2.5.* так и 3.* и сколько за это же время на 1.5.*. Ответ прост на завершающей линейку 1.5.26 было всего одна критическая и две так себе, на остальных за это же время намного более очень, только критических более десятка.
Да, согласен. Тут даже обсуждать нечего.

P.S. Тема все же не о нас, давайте эти вопросы решать либо в личке, либо выносите в отдельный флейм. Я - за любой кипишь )
« Последнее редактирование: 29.09.2017, 09:50:28 от SeBun »
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Обновление сайта на Joomla 1.5.26

Автор ALexVKH

Ответов: 4
Просмотров: 1138
Последний ответ 26.03.2018, 14:54:02
от SeBun
Как написать код на Java и вставить его в Joomla-сайт?

Автор geodx

Ответов: 9
Просмотров: 1044
Последний ответ 27.02.2018, 16:15:59
от effrit
Убрать флаг публикации на главной у всех публикаций Joomla 1.5

Автор martini

Ответов: 1
Просмотров: 14382
Последний ответ 14.11.2011, 20:18:55
от smart
[How-To] Создание блога на Joomla

Автор ZHart

Ответов: 0
Просмотров: 23466
Последний ответ 15.01.2011, 21:33:52
от ZHart
Собственная страница ошибок 404 в Joomla 1.5

Автор Missile

Ответов: 8
Просмотров: 93012
Последний ответ 03.10.2010, 13:37:51
от Sulpher