Joomla : deux failles critiques colmatées par la version 3.6.4

Joomla vient de mettre à disposition un correctif pour deux failles critiques. Exploitées, elles peuvent permettre la création de comptes sur n’importe quel site ou autoriser des actions normalement interdites. La mise à jour est donc chaudement recommandée.

Le système de gestion de contenu (CMS) Joomla est touché par deux failles jugées critiques. La première, estampillée CVE-2016-8870, réside dans un défaut de vérification qui peut aboutir à la création d’un ou plusieurs utilisateurs sur n’importe quel site géré par Joomla, même si son administrateur a désactivé ce processus.

Deux failles dangereuses, encore davantage si elles sont enchainées

Elle a été signalée le 18 octobre par Denis Palma, avant que la JSST (Joomla Security Strike Team) n’y plonge son nez. Quelques jours plus tard, la même équipe découvrait la deuxième faille, estampillée CVE-2016-8869, pouvant être utilisée en complément. Cette deuxième faille est dangereuse, particulièrement si la première a réussi à être exploitée. Elle permet en effet d’élever les privilèges du compte utilisateur pour réaliser des actions qui ne sont normalement pas permises.

Les deux failles sont critiques, évidemment exploitables à distance, et concernent des millions de sites, puisque les moutures 3.4.4 à 3.6.3 sont vulnérables, la branche 3.6 étant l’actuelle. Il est particulièrement recommandé aux utilisateurs de Joomla de mettre à jour le CM sans attendre, même si l’équipe de sécurité a signalé qu’aucune des deux brèches ne semblait actuellement utilisée par des pirates.

Joomla insiste sur la rapidité d'installation du correctif

Si les développeurs de Joomla insistent tant sur le caractère urgent de la mise à jour, c’est que le CMS a déjà été confronté par le passé à une faille ayant eu de sérieuses répercussions. En décembre 2015, une version 3.4.6 était en effet proposée pour corriger une vulnérabilité critique. À peine deux semaines après, la société de sécurité Sucuri indiquait que la faille était exploitée pour 16 000 attaques par jour.

Par ailleurs, le caractère libre et open source de Joomla ne doit pas faire oublier qu’il ne s’agit en aucun cas d’un produit grand public. Le CMS est utilisé par de nombreuses entreprises, certaines très connues : McDonald’s, General Electric ou encore Danone. Il est également utilisé par les administrateurs de Linux.com.

Tous les détails et les liens de téléchargement sont disponibles depuis la page du site officiel. Dans tous les cas, ceux qui ont une version vulnérable seront nécessairement mis à jour vers la version 3.6.4.