Срочно!
Несколько минут назад (сейчас 14 декабря 18:30 мск) появилась информация о критической уязвимости в движке Joomla CMS, причем она затрагивает версии, начиная с 1.5 и до 3.4.5
Update 22 дек. Уже пора обновляться до 3.4.7 и снова патчить старые версии.
Подробности - внутри
Официальная новость - анонсирована Joomla 3.4.6
Сама уязвимость - [20151214] - Core - Remote Code Execution Vulnerability
Недостаточная проверка параметров браузера при сохранении сессий в браузере, что может привести к выполнению удалённого кода.
Степень опасности - высокая, это значит нужно срочно пропатчить сайты на старых версиях и обновить до 3.4.6 сайты на свежих версиях.
К счастью, разработчики оперативно выпустили патчи даже для неподдерживаемых веток 1.5 и 2.5
Я подготовил архивы с патчем для удобства - можно (и нужно использовать) - кладёте нужный архив в корень сайта и распаковываете.
Срочно обновляемся и не ловим вирусов, думаю что эксплуатировать уязвимость начнут в течении пары часов.
Так, дополнение - сегодня 22 декабря вышла версия 3.4.7, где "более тщательно устранены вероятные дыры, найденные неделю назад"
Поэтому здесь, в статье, выкладываю более свежие фиксы для линеек 1.5 и 2.5
архив для версии 1.5 (оффсайт) или зеркало
архив для версии 2.5 (оффсайт) или зеркало
версию 3.4.6 необходимо обновить до 3.4.7, после чего почистить кэш и перезайти в админку.
Архив для нужной версии помещаем в корень сайта на Joomla (нужной версии) и распаковываем средствами панельки хостинга.
Upd. Судя по статье на используется уязвимость в отсутсвии проверки User Agent перед записью в БД.
Кроме того, атака началась как минимум за 2 дня до опубликования фикса, а значит, есть вероятность что сайты уже заражены.
Признаком заражения может служить наличие в логах "JDatabaseDriverMysqli" и "O:" в User-agent запросов.
Можно заблокировать запросы взлома в .htaccess
RewriteEngine on RewriteCond %{HTTP_USER_AGENT} JDatabaseDriverMysqli? [NC] RewriteRule .? - [F]
Блокировка в nginx
if ($http_user_agent ~* ".*\{.*") { return 403; }
Дополнительная, пока краткая информация о баге.
Он напрямую связан с багом php, который исправили в сентябре.
Если у вас свежие версии php, а именно PHP 5.5.29+, PHP 5.6.13+ то опасаться нечего
Более полный фикс для nginx
http { map $http_user_agent $blocked_ua { ~(?i)O: 1; ~(?i)JDatabaseDriverMysql 1; default 0; } map $remote_addr $blocked_ip { 74.3.170.33 1; 146.0.72.83 1; 194.28.174.106 1; default 0; } server { listen 80; if ($blocked_ua) { return 403; } if ($blocked_ip) { return 403; } # ... } }
Для добавления ip в список блокируемых, добавьте их в секцию map.
Посмотреть ответ на этот запрос - если код ответа 200 + на тот момент стояла старая версия - то либо взломали (скорее всего) либо просто проверили на уязвимость (вряд ли)
Именно это
Ну если сайт на Joomla указанных версий (то есть от 1.5 до 3.4.5) - то подвержен.
Кроме описанных выше случаев - версия php 5.5.29 или хостер прикрыл в своей системе безопасности или через nginx или кодировка таблиц utf_mb4 (но это будет внедрено в 3.5, пока никто такое не делал)
RewriteEngine on
RewriteCond %{HTTP_USER_AGE NT} JDatabaseDriver Mysqli? [NC]
RewriteRule .? - [F]
У меня полные логи этой фигни. Сейчас сервак проверяют, смогли ли попасть.
Для 3.1.5 должен подойти файлик с ветки 3.4
Но, 3.1 давно не поддерживается и не будет, 3.4.6 не отличается от неё кардинально - только исправлены ошибки и уязвимости. Так что бэкап в руки и обновляться
RSS лента комментариев этой записи