Notícias

Alerta: Milhões de sites baseados no Joomla estão vulneráveis

19 Comentários

A segurança nas plataformas online é uma das áreas onde mais se tem investido nos últimos anos. As ameaças são cada vez mais mas há também várias descobertas que mostram que existe má programação o que leva à descoberta de vulnerabilidades que rapidamente são exploradas.

Recentemente foi descoberta uma falha de segurança no CMS Joomla que afecta mais de 2.8 Milhões de sites.

joomla_patch-680x400

O Joomla é provavelmente um dos gestores de conteúdos web (ou CMS) mais utilizado para criação de sites a nível empresarial mas também muito usado para desenvolvimento de sites pessoais.

É um software openSource sob licença GNU/GPL, sendo actualizado por uma comunidade de programadores organizados numa estrutura não lucrativa (Joomla.org ).

Segundo alguns sites internacionais, o CMS joomla (3.2 até 3.4.4) têm falhas graves de segurança permitindo ataques do tipo SQL Injection que permitem aos atacantes “ganhar” privilégios de Administrador da plataforma.

Demonstração do Ataque

Para quem tem uma versão “vulnerável”, a equipa responsável pelo Jooma aconselha já a actualização para o Joomla 3.4.5.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
Joomla

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Pplware Classics…
Artigo anterior

Pplware Classics…
Ubuntu MATE 15.10 ou simplesmente o Ubuntu com Unity?
Próximo artigo

Ubuntu MATE 15.10 ou simplesmente o Ubuntu com Unity?
PUB

Comentários

19

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de int3
    int3

    CMS mais conhecido pelas vulnerabilidades que tem. Dupral pls

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      WordPress!

      Responder
      1. Avatar de YaBa
        YaBa

        Pelo core, talvez, mas deixa lá que os plugins de WP mais parecem um crivo, cheios de buracos.

        Responder
      2. Avatar de LG
        LG

        WordPress não é assim tão má como antigamente… os plugins é que abrem backdoors por todo o lado. Do pior que vi foi do Revolution Slider

        Responder
    2. Avatar de Miguel Ribeiro
      Miguel Ribeiro

      Imagino que seria “Drupal”.
      Já experimentei tanto Drupal como Joomla, ambos têm coisas boas, mas nenhum me convenceu.
      Eu cá prefiro desenvolver tudo de raiz.

      Responder
      1. Avatar de David
        David

        Sempre gostei de fazer tudo de raíz, mas existem sistemas que ficam bem melhor com um ‘lite’ CMS, não falo nem Joomla, nem Drupal nem mesmo WordPress [que já é longe de lite], especialmente quando se fala em segurança, a não ser que sejam sistemas básicos ou páginas estáticas.

        Responder
        1. Avatar de Marcio Marques
          Marcio Marques

          Existem muitos Joomla, no caso do artigo fala do Joomla CMS.
          O Joomla Framework que é o core do Joomla CMS é um bom core para o desenvolvimento de aplicações de bem seguro.

          Responder
      2. Avatar de YaBa
        YaBa

        Tudo de raíz? sem frameworks ou algo do género? ouch… gostava de ver esse código 😐

        Responder
    3. Avatar de EC
      EC

      try Ghost CMS

      Responder
  2. Avatar de ElVisitante
    ElVisitante

    Faz agora + / – um ano que o Drupal também teve uma falha muito grave.

    Acontece… Mas neste caso do Joomla! eles avisaram com vários dias de antecedência 🙂

    Ter uma plataforma destas é como ter uma planta ou um animal de estimação (ou um(a) namorado(a)). É preciso dar atenção todos os dias! 🙂 🙂 🙂

    Responder
  3. Avatar de Marcio Marques
    Marcio Marques

    Este tipo de ataques não funciona em sites joomla empresariais.

    Responder
    1. Avatar de YaBa
      YaBa

      Desculpa ?
      LOL, isto é com cada um. Estás a gozar, correcto ?

      Responder
      1. Avatar de Marcio Marques
        Marcio Marques

        Não não estou.
        A nivel empresarial o contenthistory é desactivado para frontend.
        E também nunca se deixa mostrar os erros ao publico, o ataque aproveita-se de o Joomla estar a mostrar os erros das extensões no site ao publico.

        Responder
        1. Avatar de YaBa
          YaBa

          Sim, mas tens noção que a grande maioria das empresas de webdesign limita-se a instalar o joomla, provavelmente pelo Softaculous, e nem se dá ao trabalho de configurar medidas mínimas de segurança?
          E nem vamos falar de updates.
          Documentos como “Apache 2.0 Hardening Guide” ou equivalente para nginx é algo demasiado complicado para eles, estamos na era do point-and-click, salvo raras excepções ninguém está para se chatear e quer o site online o mais rápido possível. Depois? depois queixam-se…

          Responder
  4. Avatar de Web Pixel
    Web Pixel

    WordPress!

    Responder
    1. Avatar de Johnny
      Johnny

      WordPress? Não é assim tão seguro como pensas.. têm muitas falhas e muitos problemas de segurança, no entanto é possívelmente uma das CMS mais usadas, no entanto esta bem longe de ser segura acredita, milhares de blogs/websites são roubados por dia a custa do WordPress e claro dos utilizadores também que usam passwords fracas, e não protegem os diretórios.

      Responder
  5. Avatar de Marco Nunes
    Marco Nunes

    por essas e por outras eu tenho o meu próprio CMS em codeigniter de 1 versão muito, mas muito remexida de pyroCMS. gente, qualquer coisa que seja muito usada, é também muito explorada! querem algo seguro? façam vocês mesmos bem feito e com ferramentas menos conhecidas, usem codeigniter por ser fácil, ou Laravel por ser mais recente e ter muitos Goodies já feitos, eu sei que isto é outra guerra como Android e iOS, mas quem sabe o que faz vai concordar comigo, o problema é a procura de programadores “WordPress” aos pontapés, minha gente, a segurança começa primeiro de tudo com o desconhecido e o total controlo sobre a plataforma, a melhor maneira de ter controlo é saber o fluxo de dados, ligações a BDS robustas e encriptadas, limpeza de strings e formulários, utilização de chaves nos posteriormente gerados pelo servidor para evitar ataques em massa, utilização dos chatos códigos em imagens, e já agora, esqueçam passes somente em md5, isto são só algumas dicas, e venham daí os programadores falar bem dstas tangas de CMS todos altamente e super rápidos dizer que são bons…. quero ver quantos deles dão manutenção e resolvem os problemas ao cliente quando estas Tretas de segurança acontecem…..

    Responder
    1. Avatar de YaBa
      YaBa

      +1 pelo Pyro 😉 De lamentar, só a documentação e a arrogância do suporte deles.

      Responder
      1. Avatar de Marco Nunes
        Marco Nunes

        pra mim é indiferente…. peguei no source code deles e modifiquei a meu proveito, tenho a versão pro, atualizei todos os script, crie tema novo de admin, novas APIs, multi-site com único login pra várias contas e permissões novas, o sistema de stremas realmente é algo que pra gestão de sites é do melhor! somente tenho de criar o HTML todo depois utilizar as lexs com as streams e ta feito! e como pouca gente conhece, melhor ainda 🙂 estou a pensar seriamente pegar na V3 em laravel e fazer o mesmo 😉

        Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.