Kriittinen haavoittuvuus Joomla-julkaisujärjestelmässä - päivitä heti

Joomla-julkaisujärjestelmästä löydetyn kriittisen SQL-injektio -haavoittuvuuden avulla hyökkääjä voi saada pääkäyttäjätason oikeudet mihin tahansa haavoittuvaan Joomla-sivustoon. Ylläpitäjiä suositellaan päivittämään haavoittuva Joomla-versio korjattuun versioon mahdollisimman pian.

Kriittiselle haavoittuvuudelle on olemassa julkinen hyväksikäyttömenetelmä, jota hyödyntämällä mikä tahansa haavoittuva Joomla-sivusto voidaan ottaa haltuun hyökkääjän toimesta. Tarkempia tietoja haavoittuvuudesta löytyy Trustwave SpiderLabsin tutkijoiden blogikirjoituksesta.

22.10. julkaistu Joomla-versio 3.4.5 korjaa myös kaksi muuta haavoittuvuutta. Lisätietoja Joomlan tiedotteessa.

Joomla on avoimeen lähdekoodiin perustuva julkaisujärjestelmä. Maailmanlaajuisesti ja Suomessakin se on Wordpressin ja Drupalin ohella suosituimpia julkaisujärjestelmiä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Luottamuksellisen tiedon hankkiminen
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Joomla versiot 3.2.0 - 3.4.4

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä Joomla versioon 3.4.5.

Lisätietoa:

https://www.joomla.org/announcements/release-news/5634-joomla-3-4-5-released.html

https://www.trustwave.com/Resources/SpiderLabs-Blog/Joomla-SQL-Injection-Vulnerability-Exploit-Results-in-Full-Administrative-Access/

CVE-2015-7297

CVE-2015-7857

CVE-2015-7858

CVE-2015-7859

CVE-2015-7899


Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248