Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Joomla 3.4.5 : une importante mise à jour de sécurité pour boucher trois failles

Et hop un accès administrateur

Joomla 3.4.5 : une importante mise à jour de sécurité pour boucher trois failles

Le 26 octobre 2015 à 07h43

Suite à la découverte d'importantes failles de sécurité, Joomla se met à jour et passe en version 3.4.5. Elles sont présentes depuis la version 3.0/3.2 et permettent d'obtenir des droits d'administrateur sur le site, il est donc plus que recommandé de se mettre à jour rapidement.

La valse des brèches de sécurité et des mises à jour qui s'en suivent continue de plus belle, et c'est désormais au tour de Joomla de publier une version 3.4.5 de son CMS (système de gestion de contenu), qui est largement utilisé sur Internet. L'éditeur explique que cela concerne toutes les versions de Joomla 3.x et que cela « comble une faille de sécurité critique ». En conséquence, il recommande « fortement que vous mettiez immédiatement à jour vos sites ».

Trois failles distinctes sont ainsi évoquées. La première concerne une injection SQL (CVE-2015-7297, CVE-2015-7857 et CVE-2015-7858), tandis que les deux autres (CVE-2015-7859 et CVE-2015-7899) sont liées à la liste de contrôle d'accès (ACL) et peuvent potentiellement donner accès à des données qui devaient être protégées. Pour que les failles soient utilisables, la configuration de base de Joomla est suffisante (depuis la 3.2, sortie en novembre 2013), et il n'est pas nécessaire d'installer le moindre module supplémentaire (com_contenthistory et com_content sont touchés).

Joomla ne donne pas plus de détails, mais l'une des deux sociétés à l'origine de la découverte de ces brèches a publié un billet de blog afin d'expliquer un peu plus précisément de quoi il en retourne. Se basant sur divers rapports et estimations, Trustwave annonce que « pas moins de 2,8 millions de sites dans le monde utilisent Joomla ».

Elle ajoute que la combinaison des failles permet d'obtenir un accès en tant qu'administrateur sur un site Joomla. Elle ajoute par contre que « cette vulnérabilité n'est exploitable que lorsqu'un administrateur est connecté sur le site ». Si vous ne pouvez pas mettre à jour rapidement votre site, elle recommande donc que vous déconnectiez tous les comptes administrateurs afin de limiter les risques. 

Commentaires (33)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et comment je fais pour déconnecter les comptes admin sans être connecté en admin <img data-src=" />



Pour info la maj prend quelques secondes.

votre avatar







SunneX a écrit :



Et comment je fais pour déconnecter les comptes admin sans être connecté en admin <img data-src=" />



Pour info la maj prend quelques secondes.





elles casse rien dans les modules/extensions ?


votre avatar







WereWindle a écrit :



elles casse rien dans les modules/extensions ?





Normalement non, après tout dépend des modules installés… Enfin vaut mieux mettre à jour quitte à désactiver un module, que d’avoir un site piraté ;-)


votre avatar







bilbonsacquet a écrit :



Normalement non, après tout dépend des modules installés… Enfin vaut mieux mettre à jour quitte à désactiver un module, que d’avoir un site piraté ;-)





je me suis dit exactement la même chose après avoir posté mon message <img data-src=" /> <img data-src=" />


votre avatar

Rien de cassé sur mes sites…

votre avatar

pareil rien de cassé ;)

votre avatar







WereWindle a écrit :



je me suis dit exactement la même chose après avoir posté mon message <img data-src=" /> <img data-src=" />





Bah, normal, par contre des “décideurs” -et certains dév abrutis- préfèrent eux rester sur l’ancienne version : On ne change pas un truc qui fonctionne (déjà entendu à plusieurs reprises…)


votre avatar

En théorie, la maj ne fait que corriger les failles et rien d’autre. Elle ne devrait donc poser aucun problème avec les extensions tierces.

En tout cas, aucun problème de mon coté non plus.

votre avatar

Mais c’est encore utilisé ce machin ?

votre avatar







yunyun a écrit :



Mais c’est encore utilisé ce machin ?





Tu ne l’as jamais testé ?


votre avatar

Si ! Et j’en ai encore des boutons..

M’enfin, c’était l’époque où il y avait des milliards de failles.. (j’ai l’impression que ça n’a pas trop changé ^^)

votre avatar







xillibit a écrit :



Tu ne l’as jamais testé ?





non mais quelque soit le sujet (matériel, logiciel…) tu auras toujours un “y a encore des gens qui utilisent ça ?”



C’est aussi inévitable que le Goldwin sur un sujet de renseignement ou une comparaison bagnolesque/boulangère sur une news sur la contrefaçon <img data-src=" />


votre avatar

Il n’y a pas moins de failles avec wordpress, voir :



nextinpact.com Next INpact

nextinpact.com Next INpact

nextinpact.com Next INpact

nextinpact.com Next INpact

nextinpact.com Next INpact

votre avatar

Non mais c’était une vraie question hein…

J’ai l’impression que les commerciaux ne vendent que du Drupal parce que c’est super “trendy top cool génial”, donc je me demande qui utilise encore ça ;)

votre avatar







yunyun a écrit :



Mais c’est encore utilisé ce machin ?





Oui, “malheureusement” enfin depuis quelques temps il s’est pas mal amélioré.



&nbsp;De plus, il vaut mieux un site fait avec un joomla que sur des plateformes comme Wix et autres outils à la c !


votre avatar

Si tu regarde les stats joomla et drupal sont au coude à coude

votre avatar

Wordpress est aussi pourri que Joomla, merci pour la démonstration :)

votre avatar

Cela justement prouve rien, vu que ce n’était pas une démonstration


votre avatar







yunyun a écrit :



Non mais c’était une vraie question hein…

J’ai l’impression que les commerciaux ne vendent que du Drupal parce que c’est super “trendy top cool génial”, donc je me demande qui utilise encore ça ;)







Les commerciaux ne doivent pas être très bon alors, puisque Joomla est le second CMS en nombre de sites derrière Wordpress.



Pour le coup, Joomla a énormément évolué depuis le fork de Mambo et les fondations ont radicalement changées.

Joomla propose un framework MVC qui permet d’étendre assez facilement les fonctionnalités de base, une communauté assez importante et un très grand nombre d’extensions qui couvrent un grand nombre de domaines.

Joomla, comme tous les logiciels a des failles. Elles sont corrigées lorsqu’elles sont découvertes parce qu’il y a derrière une communauté réactive.



Coté Drupal, j’en parlerai moins, je connais moins, mais il semble qu’il y a eu un vrai gap avec la version 8 qui propose enfin du développement OO je crois, mais qui est toujours en release candidate.



On est sur le même type de débat que Prestashop/Magento.



Chacun ont leurs spécificités, pas de meilleurs produits, mais des produits plus adaptés en fonction des besoins.



Et ça ne prend pas en compte, bien sûr, le débat CMS/développement spécifique, qui pour moi n’a pas lieu d’être tellement les budgets sont différents.







votre avatar







yunyun a écrit :



Non mais c’était une vraie question hein…

J’ai l’impression que les commerciaux ne vendent que du Drupal parce que c’est super “trendy top cool génial”, donc je me demande qui utilise encore ça ;)





Pour avoir essayé Drupal et Joomla (pas beaucoup wordpress) il y a quelques années, joomla à l’avantage d’être très rapidement accessible par un mec un peu débrouillard mais reste assez limité dans ses possibilités (limité par leur système de catégorie). Drupal est quand même vachement plus dur à prendre en mains et nécessite pratiquement obligatoirement l’utilisation d’extension (en particulier “Views” qui est presque indispensable pour dépasser le simple site news/blog) . Cependant derrière Drupal est bien plus souple (on sent une forte idée “objet” derrière) et on est capable de faire plein de truc automatiquement.

Derrière, Wordpress, de ce que j’ai vu, c’est pour faire un blog ou un site à news, mais ne dépasse pas vraiment de ce carcan.



Wordpress : facile à mettre en œuvre, facile à administrer, principalement pour les blog.

Joomla : moyennement facile à mettre en œuvre, facile à administrer, possibilité moyenne.

Drupal : difficile à mettre en œuvre, moyennement facile à administrer, possibilité importante.


votre avatar

C’est bien de signaler une mise à jour mais faut dejà expliquer à quoi sa sert.

votre avatar

Ce que beaucoup de CMS oublient : la facilité à mettre du contenu pour le rédacteur (non technicien), Joomla pour ça est une vraie plaie.



&nbsp;Ils n’y a souvent pas assez (voire pas du tout) de séparation du fond -le contenu- et de la forme -définie par le webdesigner dans le template.



&nbsp;De ce que j’ai vu dans différents outils, seuls SPIP et mediawiki sont bons à ce niveaux. Ils utilisent tous les 2 une “pseudo-syntaxe” pour la mise en forme, et des inclusions de media simplifiées.

votre avatar

Pour égoutter vos pâtes,&nbsp; choisissez joomla.&nbsp;

votre avatar

“Joomla 3.4.5 : une importante mise de sécurité pour boucher trois failles”

votre avatar

Afin de suivre les mises à jours de sécurité, Joomla propose un flux RSS spécial :

http://feeds.joomla.org/JoomlaSecurityNews?format=xml



La faille y a été signalée dès la sortie de la mise à jour, le 22. Il existe l’équivalent pour quasi toutes les plateforme via flux RSS et/ou email.

votre avatar







xillibit a écrit :



Tu ne l’as jamais testé ?





Pour ma part, oui.

Je le mets dans le même panier que Drupal, Wordpress et consort.



En PHP, il n’existe plus que Symfony et EzPublish. Tout le reste n’est clairement pas au niveau. C’est encore à cause de produits de ce genre que PHP a encore une mauvaise réputation dans le monde professionnel.



nb: J’ai découvert CakePHP il y a quelques mois. Je ne trouve même pas assez d’adjectifs péjoratifs pour le qualifier.


votre avatar







iook a écrit :



Pour ma part, oui.

Je le mets dans le même panier que Drupal, Wordpress et consort.



En PHP, il n’existe plus que Symfony et EzPublish. Tout le reste n’est clairement pas au niveau. C’est encore à cause de produits de ce genre que PHP a encore une mauvaise réputation dans le monde professionnel.



nb: J’ai découvert CakePHP il y a quelques mois. Je ne trouve même pas assez d’adjectifs péjoratifs pour le qualifier.







Symfony est un framework, ça n’est pas comparable.

EZ Publish, jamais testé pour le moment, mais je veux bien des retours d’expérience. Par manque de temps, je ne me suis pas encore penché dessus bien qu’il m’intéresse.


votre avatar

Joomla! aussi a son propre framework utilisant les dernières technologies de Php qui pour le moment est indépendant et n’est pas encore utilisé par le CMS :http://framework.joomla.org/

votre avatar

Totalement faux, WordPress est bien plus sécurisé que n’importe quel autre CMS.



Il y a énormément de failles découvertes parce qu’il est populaire, et la popularité intéresse les hackers.



En revanche WordPress dispose d’un outil de mise à jour automatique très efficace.

votre avatar







fgirardey a écrit :



Totalement faux, WordPress est bien plus sécurisé que n’importe quel autre CMS.



&nbsp;Ça c’est une affirmation purement gratuite ;)


votre avatar

Pour intégrer dans un CMS les dernières technologies de Php, il faut que le CMS ait comme pré-requis une version récente de Php, les hébergeurs ne sont pas tous à jour à ce niveau là (il y a qui sont encore sous Php 5.3) donc le CMS ne peut pas demander comme pré-requis Php 5.5 ou Php 5.6

votre avatar







xillibit a écrit :



Pour intégrer dans un CMS les dernières technologies de Php, il faut que le CMS ait comme pré-requis une version récente de Php, les hébergeurs ne sont pas tous à jour à ce niveau là (il y a qui sont encore sous Php 5.3) donc le CMS ne peut pas demander comme pré-requis Php 5.5 ou Php 5.6



Vu que php 5.4 est considéré comme obsolète depuis mi-septembre, un gros hébergeur ne peut se permettre de maintenir les versions plus anciennes. Sur du mutu chez OVH et 1 & 1, t’as php 5.5 dispo depuis belle lurette (et probablement 5.6 également).


votre avatar

Je connais des utilisateurs qui attendent que leur hébergeur leur dise vous avez jusqu’à telle date pour mettre à jour votre site pour php 5.x sinon il ne marchera plus donc c’est fait au dernier moment



OVH laisse toujours utiliser php 5.4

Joomla 3.4.5 : une importante mise à jour de sécurité pour boucher trois failles

Fermer