уязвимость CVE-2017-14596, протокол LDAP и Joomla 1.5 - Joomla 1.5: [FAQ] Часто задаваемые вопросы и ответы

совсем недавно была выявлена серьозная уязвимость при использовании протокола LDAP для аутентификации и затрагивает версии от 1.5 до 3.7.5. LDAP реализован в Joomla через «родной» плагин аутентификации, активировать которой можно в менеджере плагинов. 
Как закрыть данную дыру в старой версии Джумла?
Спасибо за подсказку!

А Вы используете ldap?

А Вы используете ldap?

нет, а что если я не использую его, то можно спасть спокойно?

главное кипишу побольше? проблема будет только при активированном плагине LDAP. http://www.securitylab.ru/news/488660.php

Как закрыть данную дыру в старой версии Джумла?

Обновить на новую.

Ибо там помимо этой уязвимости много других. А так же уязвимы расширения. Это как пытаться ремонтировать ржавую лодку - сколько не затыкай, она все равно протекает.

Обновить на новую.

Ибо там помимо этой уязвимости много других. А так же уязвимы расширения. Это как пытаться ремонтировать ржавую лодку - сколько не затыкай, она все равно протекает.

Я что-то пропустил тот сакральный момент, когда ТС сообщил используемую им версию движка.

Я что-то пропустил тот сакральный момент, когда ТС сообщил используемую им версию движка.

Гадая, я вызвал духов, и они сказали, что, судя по заголовку, это 1.5 

Ну 1.5 с патчами вполне себе надежна

Ну 1.5 с патчами вполне себе надежна

Совсем нет, готов спорить. Даже если сам двиг пропатчен, не стои забывать, что он обвешан кучей расширений, как новогодняя елка. Да и нет в тех патчах заплаток под многие уязвимости. Не стану утверждать, но по моему баг с LDAP они тоже не закрывают.

Совсем нет, готов спорить. Даже если сам двиг пропатчен, не стои забывать, что он обвешан кучей расширений, как новогодняя елка. Да и нет в тех патчах заплаток под многие уязвимости. Не стану утверждать, но по моему баг с LDAP они тоже не закрывают.

Не спорю, что в куче расширений есть дырки. Но вот есть ли в самом ядре?
LDAP - опустим, на 99,99% сайтов он выключен.

Не спорю, что в куче расширений есть дырки. Но вот есть ли в самом ядре?

Даже если ядро было бы идеально, в 99% сайт не состоит только из одного ядра и дефлотного протостара.

@SeBun
Хватит уже писать то что не знаете, 1.5.* живут на многих крупных коммерческих высоко посещаемых проектах десятилетие уже и владельцы даже не собираются их обновлять и менять. И нету там ни каких уязвимостей, а если есть что то стороннее так за ним надо следить/дорабатывать как и сам движок.

Хватит уже писать то что не знаете

А в чем я не прав? В том, что в моей лично практике еще не встречалось НИ ОДНОГО движка на Joomla совсем без расширений. Уверен, у ТС он то же не голый. Вы можете дать ему заплатки для ВСЕХ его расширений или предложить очистить ядро от них? Тогда зачем обвинять меня в незнании? Я ничуть не сомневаюсь в вашей компетенции, ни и мою не нужно опускать ниже плинтуса. Ок, я оставляю эту тему.

и мою не нужно опускать ниже плинтуса

Не затрагиваю лично ни чью компетенцию, пишу то что вижу, в эпоху появления j 1.6-1.7 и потом переходе на 2.5, очень многие старожилы так и писали как вы дабы заработать на миграции. После поняв что это копеечная трата времени и появлении у них же другой работы и видов заработка, предлагали еще и зная что обновление нужно, но и старое будет работать просто почистив и закрыв дыры (хотя закрыть и не каждый мог в отличие даже от вас) не получится больше "сорвать", потихоньку перестали этим заниматься, приходящие новички перенимают эту не золотую жилу.

Все очень просто, любую версию движка можно обезопасить, если не успеть и произошёл взлом, то вылечить и обезопасить, минимум вложений и максимум отдачи. Сайт не просидает в ПС ни каких глобальных изменений не требует, и работает как работал. Есть сайты которыми многие поседневно пользуются и посещаемость их зашкаливает, а они работают даже не на версии 1.5.26 а на тех 1.5.* которые были с критическими уязвимостями, если не верите, доказывать не собираюсь, но факт остается фактом. А то что вы предлагаете миграцию на 3.* так можете сами себе на вопрос об уязвимостях за последний год и ответить сколько их было три, четыре, или более, а сколько с момента выхода как 2.5.* так и 3.* и сколько за это же время на 1.5.*. Ответ прост на завершающей линейку 1.5.26 было всего одна критическая и две так себе, на остальных за это же время намного более очень, только критических более десятка.

в эпоху появления j 1.6-1.7 и потом переходе на 2.5, очень многие старожилы так и писали как вы дабы заработать на миграции.

Я тут миграцию никому не навязываю. И даже когда вопрос встает, я не навязываю себя в качестве исполнителя. Ибо это не является моим основным источником дохода. Просит человек - делаю. Не просит - пишите в коммерческий раздел. Вы хоть одну мою тему тут видели с предложение по миграции или другими услугами? Только в подписи, скромно и без ссылок.

Все очень просто, любую версию движка можно обезопасить

Да, но сайт не из одного движка состоит, и вы это прекрасно понимаете. Если у человека там 100500 расширений установлено, я не буду патчить каждое из них, это не та овчинка, которую нужно выделывать (за очень редким исключением, которое мне пока в практике не встречалось).

А то что вы предлагаете миграцию на 3.* так можете сами себе на вопрос об уязвимостях за последний год и ответить сколько их было три, четыре, или более, а сколько с момента выхода как 2.5.* так и 3.* и сколько за это же время на 1.5.*. Ответ прост на завершающей линейку 1.5.26 было всего одна критическая и две так себе, на остальных за это же время намного более очень, только критических более десятка.

Да, согласен. Тут даже обсуждать нечего.

P.S. Тема все же не о нас, давайте эти вопросы решать либо в личке, либо выносите в отдельный флейм. Я - за любой кипишь )