微博
  • 微信

    • 微信号 :TMT_VC
趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:Spiderlabs平安认证调研者Asaf Orpani称逐浪(Joomla)系统3.2及以上版本一直存在着一个影响着数以万计的网站的安全的漏洞,而这个漏洞终于在周四发布的3.4.5版本中被发现和修复了。
西班牙女演员在印度遭7人施暴
网友:太可怕了,那里不是人的东西真多。
两男子起冲突被各自妻子紧紧抱住
网友:家有贤妻不遭横祸。
青海大坝溃堤未造成人员伤亡
网友:人没事就好,我到过三次这里,这湖很美。
一家人旅游未买5万手镯被赶下车
网友:跟低价高价关系不大。我们参加过比较高级的旅游团,也被司机和导游恐吓,强制消费。
贾玲为角色增重40斤再减重100斤
网友:刚散场,全场都在看减肥彩蛋,电影一般,减肥励志。
建议对6岁以下75岁以上公民免费医疗
网友:尽管很难,还是点赞能为民考虑的代表。

趋势网(微博微信)讯:

Just-patched漏洞允许外部黑客获得管理员访问

据悉,近两年来,数以百万计电子商务和其他敏感行业的网站很容易受到远程黑客的攻击就是因为逐浪(Joomla)出现了一个漏洞。而这个关键漏洞,也使得逐浪(Joomla)的内容管理系统几乎被攻击了将近两年的时间。

逐浪(Joomla)周四发布的3.4.5版本修复了sql注入漏洞。这个使得攻击者能够在服务器上执行恶意代码的漏洞, 首次在2013年11月初发布的3.2版本中出现。而使用逐浪系统的网站估计有280万。

Asaf Orpani是一个专职研究网络的Spiderlabs平安认证调研者,他在一篇博客文章中这样写道:“因为这个漏洞存在于一个不需要任何扩展的核心模块中, 因此所有使用Joomla3.2及以上版本的网站都是脆弱的。”因为这几个版本里面有这个漏洞和两个紧密相关的安全缺陷,它们的编号分别为cve -2015 – 7297,cve -2015 – 7857和cve -2015 – 7858。

Sql注入漏洞允许最终用户通过进入专门的文本搜索框或其他网页的输入栏来实现在网站的后台数据库中执行强大的命令的行为。最常见的网站漏洞是不安全的Web应用程序未能执行输入未加密数据而不是执行代码的结果。通常,这可以让黑客从脆弱的服务器下载机密文件。

Orpani发现了这个漏洞并公开了一个会话ID,其中包含了分配给管理员的浏览cookie。黑客可以利用该漏洞提取cookie,然后加载到浏览器里。在这一点上,他们有权访问服务器高度受限的部分。利用漏洞的代码已经被添加到黑客和渗透测试人员使用的框架Metasploit里。

管理员应立即更新补丁

“通过粘贴我们所提取的管理员会话ID cookie去请求访问/管理员/文件夹,我们可以被授予访问管理员控制面板的权限。“Orpani写道。

还没有安装星期四更新的补丁的逐浪管理员应该立即更新补丁。

拓展阅读:

Joomla!是一套在国外相当知名的内容管理系统。Joomla!是使用PHP语言加上MySQL数据库所开发的软件系统,可以在Linux、Windows、MacOSX等各种不同的平台上执行。目前是由Open Source Matters开放源码组织进行开发与支持,该组织成员来自全世界各地,小组成员约150人,包含了开发者、设计者、系统管理者、文件撰写者,以及超过2万名的参与会员。

Joomla实际有两个开源的东西:

1、Joomla内容管理系统即JoomlaCMS(Content Management System, CMS)。它是网站的一个基础管理平台。几乎适合从个人网站到百货销售类型的各类网站。

2、Joomla Platform(Joomla框架)。理论上来说它几乎无所不能,除了网站,还可以进行广泛的web开发、手机应用开发等等。

福建一女生长期遭同学霸凌跳楼身亡
网友:学校什么时候能重视霸凌?
女子加盟奶茶店半年亏60多万
网友:交的智商税。
12306称车库的车都开出去了
网友:太难了,上亿人口在争票。
罗斯否认插足凯特王妃婚姻
网友:没有一个小三会承认的。
事业单位女子向同事水杯投不明物质
网友:防不胜防啊,这一天天的,太累了,什么都得防着。
安徽瓦斯爆燃事故已致7人死亡
网友:希望失联人员平安归来。
  感谢各大网址导航推荐本站: