Критическая уязвимость в сайтах на Joomla

_ 158
16658

Всем крайне важно обновляться или патчить старые версии.

На сей раз уязвимость затрагивает все версии, начиная с 1.5

Для 3.4 - надо просто обновиться на 3.4.6, для старых версий - патчить.

Офф новость

Я подготовил патчи сразу в архивах для тех, у кого старые версии, чтоб было проще патчить - ссылки у меня в блоге.

---------- Добавлено 14.12.2015 в 20:39 ----------

Не спим, обновляем сайты, а то завтра число дорвеев резко возрастёт.

Настраиваю напильником Joomla 1.5 (http://joomla15.ru) Если постоянно взламывают движок, достаточно сменить хостинг (http://2s4.ru/ytx) всем СРОЧНО (14 дек) обновлять или патчить joomla-сайты (/ru/forum/919351)
Avatar 313
#1

_voland_, добрый человек, подробней разъясните немного - как патчить нужно? А то опыта нет в таком вопросе вообще совершенно. Что куда нужно распаковать?

_ 158
#2

Архив для нужной версии помещаем в корень сайта на Joomla (нужной версии) и распаковываем средствами панельки хостинга.

Avatar 313
#3

Это в какую папку? В public html? А заранее распаковать можно? А то я понятия не имею, как средствами панели хостинга что-то распаковывается. Подскажите чуть подробней? Сейчас это многим потребуется, заранее огромное спасибо!

_ 158
#4
xtras:
Это в какую папку? В public html? А заранее распаковать можно? А то я понятия не имею, как средствами панели хостинга что-то распаковывается. Подскажите чуть подробней? Сейчас это многим потребуется, заранее огромное спасибо!

Это та папка, где рядом папки administrator, cache, cli итп и файлики robots.txt configuration.php итп

В зависимости от настроек хостинга это может быть и public_html и public_html/sitename.ru и www/sitename.ru и подобное

---------- Добавлено 14.12.2015 в 21:23 ----------

Заранее можно распаковать, но тогда файлик надо заменять по пути /libraries/joomla/session от корня.

Архивы сделаны с учётом этого пути.

Avatar 313
#5

_voland_, спасибо, Попробовал сделать средствами панели хостинга - все вроде распаковалось с заменой файлов. Сейчас повторю манипуляции на всех остальных сайтах. Спасибо!

Еще подскажите, как проверить правильно ли встал патч?

upd: проверил файлик session по указанному вами пути - показывает, что изменен только что, значит встал куда нужно.

_ 158
#6

/libraries/joomla/session/session.php - сравнить этот файл с файлом в архиве, ну или, посмотреть его дату и вес.

Avatar 313
#7

После распаковки файл с архивом удалять из корневого каталога?

_ 158
#8
xtras:
После распаковки файл с архивом удалять из корневого каталога?

Да, хотя если забудете - ничего страшного.

Avatar 1539
#9

Я так понимаю там убрана проверка браузера и изменён тип считывания IP

Вместо реального IP кто-то подсовывает специальный код и он выполняется, я так понимаю.

Вот это дырка на дырке :(

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
_ 158
#10
LEOnidUKG:
Я так понимаю там убрана проверка браузера и изменён тип считывания IP

Вместо реального IP кто-то подсовывает специальный код и он выполняется, я так понимаю.

Вот это дырка на дырке :(

Да, примерно так, или вместо строчки версии браузера, глубоко не копал.

Дырень серьезная 😡

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий