Операторам сайтов, использующих Joomla, настоятельно рекомендуется произвести обновление в кратчайшие сроки. Согласно анонсу, релиз 3.6.4 CMS-системы содержит патчи для двух критических уязвимостей, позволяющих создать учетную запись в обход ограничений.

Обе бреши, оцененные как высокой степени опасности, были обнаружены в начале октября и актуальны для Joomla версий с 3.4.4 по 3.6.3.

Одна из этих уязвимостей привнесена неадекватностью существующих проверок и открывает возможность для регистрации новых пользователей, когда эта функция отключена. Другой баг вызван «некорректным использованием нефильтрованных данных» и позволяет регистрировать аккаунты с повышенными привилегиями.

Одновременно исправлена ошибка в системе двухфакторной аутентификации, начавшая проявляться на прошлой неделе. После выпуска Joomla 3.6.3, состоявшегося 18 октября, на GitHub-странице проекта стали появляться жалобы: операторы сайтов, использующие 2FA, не могли осуществить вход после обновления. При попытке залогиниться в админ-панели пользователю выводилась ошибка «Must match character set» (неправильная кодировка); чтобы восстановить доступ, приходилось отключать поддержку 2FA через базу данных сайта.

Как оказалось, проблема возникла из-за недавнего перевода Joomla на FOF (Framework on Framework), сторонний фреймворк быстрой разработки приложений. Вместо FOFEncryptAesMcrypt обновленная CMS стала использовать FOFEncryptAesOpenssl, и Mcrypt-ключи пользователей оказались недействительными. Со слов Роберта Дойца (Robert Deutz), одного из руководителей по организации производства продукции Joomla, данная ошибка была исправлена. Новый выпуск Joomla конвертирует данные в OpenSSL, если они зашифрованы с помощью Mcrypt.

Категории: Главное, Уязвимости