Joomla 3.4.5 : une importante mise à jour de sécurité pour boucher trois failles

La valse des brèches de sécurité et des mises à jour qui s'en suivent continue de plus belle, et c'est désormais au tour de Joomla de publier une version 3.4.5 de son CMS (système de gestion de contenu), qui est largement utilisé sur Internet. L'éditeur explique que cela concerne toutes les versions de Joomla 3.x et que cela « comble une faille de sécurité critique ». En conséquence, il recommande « fortement que vous mettiez immédiatement à jour vos sites ».

Trois failles distinctes sont ainsi évoquées. La première concerne une injection SQL (CVE-2015-7297, CVE-2015-7857 et CVE-2015-7858), tandis que les deux autres (CVE-2015-7859 et CVE-2015-7899) sont liées à la liste de contrôle d'accès (ACL) et peuvent potentiellement donner accès à des données qui devaient être protégées. Pour que les failles soient utilisables, la configuration de base de Joomla est suffisante (depuis la 3.2, sortie en novembre 2013), et il n'est pas nécessaire d'installer le moindre module supplémentaire (com_contenthistory et com_content sont touchés).

Joomla ne donne pas plus de détails, mais l'une des deux sociétés à l'origine de la découverte de ces brèches a publié un billet de blog afin d'expliquer un peu plus précisément de quoi il en retourne. Se basant sur divers rapports et estimations, Trustwave annonce que « pas moins de 2,8 millions de sites dans le monde utilisent Joomla ».

Elle ajoute que la combinaison des failles permet d'obtenir un accès en tant qu'administrateur sur un site Joomla. Elle ajoute par contre que « cette vulnérabilité n'est exploitable que lorsqu'un administrateur est connecté sur le site ». Si vous ne pouvez pas mettre à jour rapidement votre site, elle recommande donc que vous déconnectiez tous les comptes administrateurs afin de limiter les risques. 

• Télécharger Joomla 3.4.5