Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Joomla 3.4.5 : une importante mise à jour de sécurité pour boucher trois failles

Et hop un accès administrateur
Internet 2 min
Joomla 3.4.5 : une importante mise à jour de sécurité pour boucher trois failles

Suite à la découverte d'importantes failles de sécurité, Joomla se met à jour et passe en version 3.4.5. Elles sont présentes depuis la version 3.0/3.2 et permettent d'obtenir des droits d'administrateur sur le site, il est donc plus que recommandé de se mettre à jour rapidement.

La valse des brèches de sécurité et des mises à jour qui s'en suivent continue de plus belle, et c'est désormais au tour de Joomla de publier une version 3.4.5 de son CMS (système de gestion de contenu), qui est largement utilisé sur Internet. L'éditeur explique que cela concerne toutes les versions de Joomla 3.x et que cela « comble une faille de sécurité critique ». En conséquence, il recommande « fortement que vous mettiez immédiatement à jour vos sites ».

Trois failles distinctes sont ainsi évoquées. La première concerne une injection SQL (CVE-2015-7297, CVE-2015-7857 et CVE-2015-7858), tandis que les deux autres (CVE-2015-7859 et CVE-2015-7899) sont liées à la liste de contrôle d'accès (ACL) et peuvent potentiellement donner accès à des données qui devaient être protégées. Pour que les failles soient utilisables, la configuration de base de Joomla est suffisante (depuis la 3.2, sortie en novembre 2013), et il n'est pas nécessaire d'installer le moindre module supplémentaire (com_contenthistory et com_content sont touchés).

Joomla ne donne pas plus de détails, mais l'une des deux sociétés à l'origine de la découverte de ces brèches a publié un billet de blog afin d'expliquer un peu plus précisément de quoi il en retourne. Se basant sur divers rapports et estimations, Trustwave annonce que « pas moins de 2,8 millions de sites dans le monde utilisent Joomla ».

Elle ajoute que la combinaison des failles permet d'obtenir un accès en tant qu'administrateur sur un site Joomla. Elle ajoute par contre que « cette vulnérabilité n'est exploitable que lorsqu'un administrateur est connecté sur le site ». Si vous ne pouvez pas mettre à jour rapidement votre site, elle recommande donc que vous déconnectiez tous les comptes administrateurs afin de limiter les risques. 

34 commentaires
Avatar de SunneX INpactien
Avatar de SunneXSunneX- 26/10/15 à 08:44:07

Et comment je fais pour déconnecter les comptes admin sans être connecté en admin :D

Pour info la maj prend quelques secondes.

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 26/10/15 à 08:50:26

SunneX a écrit :

Et comment je fais pour déconnecter les comptes admin sans être connecté en admin :D

Pour info la maj prend quelques secondes.

elles casse rien dans les modules/extensions ?

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 26/10/15 à 09:21:26

WereWindle a écrit :

elles casse rien dans les modules/extensions ?

Normalement non, après tout dépend des modules installés... Enfin vaut mieux mettre à jour quitte à désactiver un module, que d'avoir un site piraté ;-)

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 26/10/15 à 09:27:48

bilbonsacquet a écrit :

Normalement non, après tout dépend des modules installés... Enfin vaut mieux mettre à jour quitte à désactiver un module, que d'avoir un site piraté ;-)

je me suis dit exactement la même chose après avoir posté mon message :transpi: :oops:

Avatar de SunneX INpactien
Avatar de SunneXSunneX- 26/10/15 à 09:29:24

Rien de cassé sur mes sites...

Avatar de Dr.Jackson Abonné
Avatar de Dr.JacksonDr.Jackson- 26/10/15 à 09:31:18

pareil rien de cassé ;)

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 26/10/15 à 09:36:34

WereWindle a écrit :

je me suis dit exactement la même chose après avoir posté mon message :transpi: :oops:

Bah, normal, par contre des "décideurs" -et certains dév abrutis- préfèrent eux rester sur l'ancienne version : On ne change pas un truc qui fonctionne (déjà entendu à plusieurs reprises…)

Avatar de t-la INpactien
Avatar de t-lat-la- 26/10/15 à 09:44:41

En théorie, la maj ne fait que corriger les failles et rien d'autre. Elle ne devrait donc poser aucun problème avec les extensions tierces.
En tout cas, aucun problème de mon coté non plus.

Avatar de yunyun INpactien
Avatar de yunyunyunyun- 26/10/15 à 09:53:43

Mais c'est encore utilisé ce machin ?

Avatar de xillibit Abonné
Avatar de xillibitxillibit- 26/10/15 à 10:06:04

yunyun a écrit :

Mais c'est encore utilisé ce machin ?

Tu ne l'as jamais testé ?

Édité par xillibit le 26/10/2015 à 10:06
Il n'est plus possible de commenter cette actualité.
Page 1 / 4