Suite à la découverte d'importantes failles de sécurité, Joomla se met à jour et passe en version 3.4.5. Elles sont présentes depuis la version 3.0/3.2 et permettent d'obtenir des droits d'administrateur sur le site, il est donc plus que recommandé de se mettre à jour rapidement.
La valse des brèches de sécurité et des mises à jour qui s'en suivent continue de plus belle, et c'est désormais au tour de Joomla de publier une version 3.4.5 de son CMS (système de gestion de contenu), qui est largement utilisé sur Internet. L'éditeur explique que cela concerne toutes les versions de Joomla 3.x et que cela « comble une faille de sécurité critique ». En conséquence, il recommande « fortement que vous mettiez immédiatement à jour vos sites ».
Trois failles distinctes sont ainsi évoquées. La première concerne une injection SQL (CVE-2015-7297, CVE-2015-7857 et CVE-2015-7858), tandis que les deux autres (CVE-2015-7859 et CVE-2015-7899) sont liées à la liste de contrôle d'accès (ACL) et peuvent potentiellement donner accès à des données qui devaient être protégées. Pour que les failles soient utilisables, la configuration de base de Joomla est suffisante (depuis la 3.2, sortie en novembre 2013), et il n'est pas nécessaire d'installer le moindre module supplémentaire (com_contenthistory et com_content sont touchés).
Joomla ne donne pas plus de détails, mais l'une des deux sociétés à l'origine de la découverte de ces brèches a publié un billet de blog afin d'expliquer un peu plus précisément de quoi il en retourne. Se basant sur divers rapports et estimations, Trustwave annonce que « pas moins de 2,8 millions de sites dans le monde utilisent Joomla ».
Elle ajoute que la combinaison des failles permet d'obtenir un accès en tant qu'administrateur sur un site Joomla. Elle ajoute par contre que « cette vulnérabilité n'est exploitable que lorsqu'un administrateur est connecté sur le site ». Si vous ne pouvez pas mettre à jour rapidement votre site, elle recommande donc que vous déconnectiez tous les comptes administrateurs afin de limiter les risques.
Commentaires (34)
#1
Et comment je fais pour déconnecter les comptes admin sans être connecté en admin " />
Pour info la maj prend quelques secondes.
#2
#3
#4
#5
Rien de cassé sur mes sites…
#6
pareil rien de cassé ;)
#7
#8
En théorie, la maj ne fait que corriger les failles et rien d’autre. Elle ne devrait donc poser aucun problème avec les extensions tierces.
En tout cas, aucun problème de mon coté non plus.
#9
Mais c’est encore utilisé ce machin ?
#10
#11
Si ! Et j’en ai encore des boutons..
M’enfin, c’était l’époque où il y avait des milliards de failles.. (j’ai l’impression que ça n’a pas trop changé ^^)
#12
#13
Il n’y a pas moins de failles avec wordpress, voir :
http://www.nextinpact.com/news/95932-wordpress-4-2-3-mise-a-jour-securite-a-caus…
http://www.nextinpact.com/news/93897-wordpress-4-1-2-importante-mise-a-jour-secu…
http://www.nextinpact.com/news/93783-wordpress-fbi-met-en-garde-contre-vague-dat…
http://www.nextinpact.com/news/91439-plus-11-000-sites-wordpress-bloques-par-goo…
http://www.nextinpact.com/news/89132-wordpress-et-drupal-deploient-dimportantes-…
#14
Non mais c’était une vraie question hein…
J’ai l’impression que les commerciaux ne vendent que du Drupal parce que c’est super “trendy top cool génial”, donc je me demande qui utilise encore ça ;)
#15
#16
Si tu regarde les stats joomla et drupal sont au coude à coude
#17
Wordpress est aussi pourri que Joomla, merci pour la démonstration :)
#18
Cela justement prouve rien, vu que ce n’était pas une démonstration
#19
#20
#21
C’est bien de signaler une mise à jour mais faut dejà expliquer à quoi sa sert.
#22
Ce que beaucoup de CMS oublient : la facilité à mettre du contenu pour le rédacteur (non technicien), Joomla pour ça est une vraie plaie.
Ils n’y a souvent pas assez (voire pas du tout) de séparation du fond -le contenu- et de la forme -définie par le webdesigner dans le template.
De ce que j’ai vu dans différents outils, seuls SPIP et mediawiki sont bons à ce niveaux. Ils utilisent tous les 2 une “pseudo-syntaxe” pour la mise en forme, et des inclusions de media simplifiées.
#23
Pour égoutter vos pâtes, choisissez joomla.
#24
“Joomla 3.4.5 : une importante mise de sécurité pour boucher trois failles”
#25
Afin de suivre les mises à jours de sécurité, Joomla propose un flux RSS spécial :
http://feeds.joomla.org/JoomlaSecurityNews?format=xml
La faille y a été signalée dès la sortie de la mise à jour, le 22. Il existe l’équivalent pour quasi toutes les plateforme via flux RSS et/ou email.
#26
#27
#28
Joomla! aussi a son propre framework utilisant les dernières technologies de Php qui pour le moment est indépendant et n’est pas encore utilisé par le CMS :http://framework.joomla.org/
#29
Totalement faux, WordPress est bien plus sécurisé que n’importe quel autre CMS.
Il y a énormément de failles découvertes parce qu’il est populaire, et la popularité intéresse les hackers.
En revanche WordPress dispose d’un outil de mise à jour automatique très efficace.
#30
#31
Pour intégrer dans un CMS les dernières technologies de Php, il faut que le CMS ait comme pré-requis une version récente de Php, les hébergeurs ne sont pas tous à jour à ce niveau là (il y a qui sont encore sous Php 5.3) donc le CMS ne peut pas demander comme pré-requis Php 5.5 ou Php 5.6
#32
#33
Je connais des utilisateurs qui attendent que leur hébergeur leur dise vous avez jusqu’à telle date pour mettre à jour votre site pour php 5.x sinon il ne marchera plus donc c’est fait au dernier moment
OVH laisse toujours utiliser php 5.4