Критическая уязвимость в сайтах на Joomla

_
На сайте с 09.06.2008
Offline
158
16777

Всем крайне важно обновляться или патчить старые версии.

На сей раз уязвимость затрагивает все версии, начиная с 1.5

Для 3.4 - надо просто обновиться на 3.4.6, для старых версий - патчить.

Офф новость

Я подготовил патчи сразу в архивах для тех, у кого старые версии, чтоб было проще патчить - ссылки у меня в блоге.

---------- Добавлено 14.12.2015 в 20:39 ----------

Не спим, обновляем сайты, а то завтра число дорвеев резко возрастёт.

Настраиваю напильником Joomla 1.5 (http://joomla15.ru) Если постоянно взламывают движок, достаточно сменить хостинг (http://2s4.ru/ytx) всем СРОЧНО (14 дек) обновлять или патчить joomla-сайты (/ru/forum/919351)
xtras
На сайте с 03.12.2013
Offline
342
#1

_voland_, добрый человек, подробней разъясните немного - как патчить нужно? А то опыта нет в таком вопросе вообще совершенно. Что куда нужно распаковать?

_
На сайте с 09.06.2008
Offline
158
#2

Архив для нужной версии помещаем в корень сайта на Joomla (нужной версии) и распаковываем средствами панельки хостинга.

xtras
На сайте с 03.12.2013
Offline
342
#3

Это в какую папку? В public html? А заранее распаковать можно? А то я понятия не имею, как средствами панели хостинга что-то распаковывается. Подскажите чуть подробней? Сейчас это многим потребуется, заранее огромное спасибо!

_
На сайте с 09.06.2008
Offline
158
#4
xtras:
Это в какую папку? В public html? А заранее распаковать можно? А то я понятия не имею, как средствами панели хостинга что-то распаковывается. Подскажите чуть подробней? Сейчас это многим потребуется, заранее огромное спасибо!

Это та папка, где рядом папки administrator, cache, cli итп и файлики robots.txt configuration.php итп

В зависимости от настроек хостинга это может быть и public_html и public_html/sitename.ru и www/sitename.ru и подобное

---------- Добавлено 14.12.2015 в 21:23 ----------

Заранее можно распаковать, но тогда файлик надо заменять по пути /libraries/joomla/session от корня.

Архивы сделаны с учётом этого пути.

xtras
На сайте с 03.12.2013
Offline
342
#5

_voland_, спасибо, Попробовал сделать средствами панели хостинга - все вроде распаковалось с заменой файлов. Сейчас повторю манипуляции на всех остальных сайтах. Спасибо!

Еще подскажите, как проверить правильно ли встал патч?

upd: проверил файлик session по указанному вами пути - показывает, что изменен только что, значит встал куда нужно.

_
На сайте с 09.06.2008
Offline
158
#6

/libraries/joomla/session/session.php - сравнить этот файл с файлом в архиве, ну или, посмотреть его дату и вес.

xtras
На сайте с 03.12.2013
Offline
342
#7

После распаковки файл с архивом удалять из корневого каталога?

_
На сайте с 09.06.2008
Offline
158
#8
xtras:
После распаковки файл с архивом удалять из корневого каталога?

Да, хотя если забудете - ничего страшного.

LEOnidUKG
На сайте с 25.11.2006
Online
1752
#9

Я так понимаю там убрана проверка браузера и изменён тип считывания IP

Вместо реального IP кто-то подсовывает специальный код и он выполняется, я так понимаю.

Вот это дырка на дырке :(

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
_
На сайте с 09.06.2008
Offline
158
#10
LEOnidUKG:
Я так понимаю там убрана проверка браузера и изменён тип считывания IP

Вместо реального IP кто-то подсовывает специальный код и он выполняется, я так понимаю.

Вот это дырка на дырке :(

Да, примерно так, или вместо строчки версии браузера, глубоко не копал.

Дырень серьезная 😡

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий