趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:Spiderlabs平安认证调研者Asaf Orpani称逐浪(Joomla)系统3.2及以上版本一直存在着一个影响着数以万计的网站的安全的漏洞,而这个漏洞终于在周四发布的3.4.5版本中被发现和修复了。
美43只雌猴逃出实验室或携带致命病毒
网友:又来了,这一手还真是玩不腻。
蒂芙尼成都太古里店被砸
网友:抑郁症不会打砸,躁郁症会,但必须有外部因素刺激,无缘无故冲进店里的,这是零元购。
特朗普赢得2024美国大选
网友:第一章:回宫。
曝黄晓明被叶珂索要2.7亿分手费
网友:怪不得她在网上肆无忌惮的发疯一点都不顾及黄晓明的面子呢。
蜂花删除真假闺蜜争议性漫画
网友:这不是性别问题,这是低俗恶俗价值观的问题。
19岁孤儿被骗到郑州4天没吃没喝
网友:还好是个男孩,女孩子就不知道被关到哪里去生孩子了。

趋势网(微博微信)讯:

Just-patched漏洞允许外部黑客获得管理员访问

据悉,近两年来,数以百万计电子商务和其他敏感行业的网站很容易受到远程黑客的攻击就是因为逐浪(Joomla)出现了一个漏洞。而这个关键漏洞,也使得逐浪(Joomla)的内容管理系统几乎被攻击了将近两年的时间。

逐浪(Joomla)周四发布的3.4.5版本修复了sql注入漏洞。这个使得攻击者能够在服务器上执行恶意代码的漏洞, 首次在2013年11月初发布的3.2版本中出现。而使用逐浪系统的网站估计有280万。

Asaf Orpani是一个专职研究网络的Spiderlabs平安认证调研者,他在一篇博客文章中这样写道:“因为这个漏洞存在于一个不需要任何扩展的核心模块中, 因此所有使用Joomla3.2及以上版本的网站都是脆弱的。”因为这几个版本里面有这个漏洞和两个紧密相关的安全缺陷,它们的编号分别为cve -2015 – 7297,cve -2015 – 7857和cve -2015 – 7858。

Sql注入漏洞允许最终用户通过进入专门的文本搜索框或其他网页的输入栏来实现在网站的后台数据库中执行强大的命令的行为。最常见的网站漏洞是不安全的Web应用程序未能执行输入未加密数据而不是执行代码的结果。通常,这可以让黑客从脆弱的服务器下载机密文件。

Orpani发现了这个漏洞并公开了一个会话ID,其中包含了分配给管理员的浏览cookie。黑客可以利用该漏洞提取cookie,然后加载到浏览器里。在这一点上,他们有权访问服务器高度受限的部分。利用漏洞的代码已经被添加到黑客和渗透测试人员使用的框架Metasploit里。

管理员应立即更新补丁

“通过粘贴我们所提取的管理员会话ID cookie去请求访问/管理员/文件夹,我们可以被授予访问管理员控制面板的权限。“Orpani写道。

还没有安装星期四更新的补丁的逐浪管理员应该立即更新补丁。

拓展阅读:

Joomla!是一套在国外相当知名的内容管理系统。Joomla!是使用PHP语言加上MySQL数据库所开发的软件系统,可以在Linux、Windows、MacOSX等各种不同的平台上执行。目前是由Open Source Matters开放源码组织进行开发与支持,该组织成员来自全世界各地,小组成员约150人,包含了开发者、设计者、系统管理者、文件撰写者,以及超过2万名的参与会员。

Joomla实际有两个开源的东西:

1、Joomla内容管理系统即JoomlaCMS(Content Management System, CMS)。它是网站的一个基础管理平台。几乎适合从个人网站到百货销售类型的各类网站。

2、Joomla Platform(Joomla框架)。理论上来说它几乎无所不能,除了网站,还可以进行广泛的web开发、手机应用开发等等。

乌克兰称已同朝鲜军队发生交战
网友:我把将军当太阳,将军拿我赚外汇。
打假博主揭良品铺子配料表黑 幕
网友:你可以犯错,你可以改,谁没有犯过错呢,但不能逃避错误,要正视它。
大学生300元抢6399元电车提车被拒
网友:在玩文字游戏吗?有图有证据,为什么一会儿说是定金,一会儿说是挡风被。
西安一女生称应聘总助被要求陪睡
网友:怪不得经济这么不景气还有那么多人想当老板。
内地游客香港换钱被骂穷
网友:看来香港旅游还是太好了。
百万粉丝博主江边捡垃圾发现散落人骨
网友:这博胆子是真大,敢直接用手拿。
被丈夫举报出 轨学生女教师二提离婚
重庆15岁女孩被母亲男友砍伤十多处
19岁孤儿被骗到郑州4天没吃没喝
清华学生疑因北航女友作弊被抓殴打辅导员
货车司机家属质疑劳斯莱斯车主
江苏无锡一学院持刀伤人案
宁波顺其自然又捐款109万元
给爱说话学生戴小蜜蜂的老师离职
女子取现700万给骗子怼民警管的宽
献血100次可免费吃酒店自助餐
  感谢各大网址导航推荐本站: