趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:Spiderlabs平安认证调研者Asaf Orpani称逐浪(Joomla)系统3.2及以上版本一直存在着一个影响着数以万计的网站的安全的漏洞,而这个漏洞终于在周四发布的3.4.5版本中被发现和修复了。
妇联介入调查女硕士失踪被找回案
网友:真的是魔幻现实主义,好讽刺。
男子刷视频发现妻子正和别人结婚
网友:好好好,这么欺负老实人是吧。
董事长套 现9亿后反劝投资者耐心一点
网友:股票上市就是用来减持的,难道是用来做慈善的?
合肥一代孕机构抓捕现场视频
网友:最怕的就是正常的女人想要试管婴儿的,被偷偷取了卵子卖给了别人。
济南大学3.5元泡面老板发声
网友:强迫交易,黑社会的一种方式。
被同学抱摔艺考女生发声
网友:即使人家姑娘不是艺考生,好端端一个人被摔骨折,加害者竟然不用接受惩罚?

趋势网(微博微信)讯:

Just-patched漏洞允许外部黑客获得管理员访问

据悉,近两年来,数以百万计电子商务和其他敏感行业的网站很容易受到远程黑客的攻击就是因为逐浪(Joomla)出现了一个漏洞。而这个关键漏洞,也使得逐浪(Joomla)的内容管理系统几乎被攻击了将近两年的时间。

逐浪(Joomla)周四发布的3.4.5版本修复了sql注入漏洞。这个使得攻击者能够在服务器上执行恶意代码的漏洞, 首次在2013年11月初发布的3.2版本中出现。而使用逐浪系统的网站估计有280万。

Asaf Orpani是一个专职研究网络的Spiderlabs平安认证调研者,他在一篇博客文章中这样写道:“因为这个漏洞存在于一个不需要任何扩展的核心模块中, 因此所有使用Joomla3.2及以上版本的网站都是脆弱的。”因为这几个版本里面有这个漏洞和两个紧密相关的安全缺陷,它们的编号分别为cve -2015 – 7297,cve -2015 – 7857和cve -2015 – 7858。

Sql注入漏洞允许最终用户通过进入专门的文本搜索框或其他网页的输入栏来实现在网站的后台数据库中执行强大的命令的行为。最常见的网站漏洞是不安全的Web应用程序未能执行输入未加密数据而不是执行代码的结果。通常,这可以让黑客从脆弱的服务器下载机密文件。

Orpani发现了这个漏洞并公开了一个会话ID,其中包含了分配给管理员的浏览cookie。黑客可以利用该漏洞提取cookie,然后加载到浏览器里。在这一点上,他们有权访问服务器高度受限的部分。利用漏洞的代码已经被添加到黑客和渗透测试人员使用的框架Metasploit里。

管理员应立即更新补丁

“通过粘贴我们所提取的管理员会话ID cookie去请求访问/管理员/文件夹,我们可以被授予访问管理员控制面板的权限。“Orpani写道。

还没有安装星期四更新的补丁的逐浪管理员应该立即更新补丁。

拓展阅读:

Joomla!是一套在国外相当知名的内容管理系统。Joomla!是使用PHP语言加上MySQL数据库所开发的软件系统,可以在Linux、Windows、MacOSX等各种不同的平台上执行。目前是由Open Source Matters开放源码组织进行开发与支持,该组织成员来自全世界各地,小组成员约150人,包含了开发者、设计者、系统管理者、文件撰写者,以及超过2万名的参与会员。

Joomla实际有两个开源的东西:

1、Joomla内容管理系统即JoomlaCMS(Content Management System, CMS)。它是网站的一个基础管理平台。几乎适合从个人网站到百货销售类型的各类网站。

2、Joomla Platform(Joomla框架)。理论上来说它几乎无所不能,除了网站,还可以进行广泛的web开发、手机应用开发等等。

官方通报女硕士卜某走失被找回事件
网友:收留是我见到最可笑的笑话。
B太菏泽羊肉汤视频被投诉下架
网友:人家视频确实没说坏话,大家对食品安全很看重的,真的我们喝羊汤没喝过这么白的,很像麻辣烫汤底。
悉尼碎尸案发现疑似死者丈夫尸体
网友:刚开始怀疑丈夫,现在灭门了,这条线索也断了。
女硕士走失13年收留者家属发声
网友:收留这个词不敢苟同,收留所以为人家生儿育女?这是加了多少层滤镜拼凑出了这些词汇啊。
尹锡悦弹劾案通过 总统职务立即停止
网友:青瓦台魔咒破了,看来和地方没关系,他不住青瓦台也照样下台。
医院拒绝回应免费为多名老人做手术
网友:为了利益,没有底线,就算骗保,也不能随意处理老人们的身体吧。
  感谢各大网址导航推荐本站: