XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > Joomla-da kritik boşluqlar mövcuddur..

31 Okt 2016

 Joomla veb kontentinin idarəedilməsi sistemi üçün mütəxəssislər 3.6.4 təxirəsalınmaz yenilənməni istifadəyə verildi, hansında ki, ən yüksək təhlükəlilik səviyyəsi müəyyən olunmuş 2 boşluq aradan qaldırıldı. Birinci boşluq (CVE-2016-8870) yeni istifadəçi qeydiyyatı funksiyası qadağan olan vəziyyətə baxmayaraq yeni istifadə yaratmaq imkanı verirdi. İkinci boşluq (CVE-2016-8869) isə kənar ziyarətçiyə yeni istifadəçini hər hansı bir qrupa əlavə etmək və onu administrator imtiyazları da verə bilirdi.

Joomla-da qeyd olunan problem 3.4.4 versiyasınnan başlayaraq müşahidə olunur. Eyni zamanda ötən həftədən fəaliyyətə başlayan 2 faktorlu autentifikasiya sistemində xəta aradan qaldırılmışdır. Müəyyən olunmuşdur ki, bir müddət öncə tətbiqetmələrin sürətli emal olunması üçün Joomla-nın FOF(Framework on Framework)-a köçürülməsindən sonra problem baş vermişdir. FOFEncryptAesMcrypt əvəzinə yenilənmiş CMS FOFEncryptAesOpenssl istifadə etməyə başladı və istifadəçilərin Mcrypt açarları etibarsız sayıldı. Joomla-nın yeni versiyası verilənlər Mcrypt ilə şifrələnmişdirlərsə onları SSL-ə konvert edir.