您在這裡

Joomla出現嚴重零時差漏洞,新舊版全中標,已有災情

jack 在 二, 12/15/2015 - 19:48 發表

Joomla官網在1214日發出重大更新的通告,乎籲用戶盡快更新,以修補Joomla核心的嚴重零時差漏洞。 

根據Joomla官網說明,在把工作時段(session)值儲存到資料庫時為能適當的過濾瀏覽資訊,因此可能導致遠端執行程式漏洞。受影響的版本從將近八年前的Joomla 1.5到最新的Joomla 3.4.5。並建議用戶升級到最新的3.4.6版。 

資安公司Sucuri表示,這是個很嚴重的漏洞,而且很容易被攻擊,現在已經傳出攻擊災情,而且在官方釋出更新之前攻擊已有兩天之久,所取得的Log檔最早可回溯到12 12 4:49PM,建議Joomla使用者要立即更新。 

至於Joomla 1.5.x2.5.x的使用者,則可以到這裡找到非官方的hotfixes修補,這裡有如何使用的教學文章(英文的)。

相關連結:

Tags: