Joomlaが3.4.6へアップデート、ゼロデイ攻撃あり

先日、Joomlaにセキュリティアップデート3.4.5が当たったばかりですが、3.4.6が公開されました。

またも、深刻な脆弱性が修正されています。影響を受けるバージョンは1.5から3.4.5ということですから、すべてのJoomlaサイトがアップデートされる必要があります。

脆弱性の内容

セッションをデータベースに保存する際に、任意のコードを実行される可能性があったそうです。

つまり、悪意あるユーザーがサイトへアクセスすれば、サイトを乗っ取られるということに近いと思います。

http://www.pcworld.com/article/3014896/security/joomla-patches-critical-remote-execution-bug.html

www.pcworld.com

ゼロデイ攻撃が確認されているようです。

Attacks Ramp Up Against Joomla Zero Day

Researchers at Sucuri said attacks against a zero-day vulnerability in Joomla, which has been patched, have accelerated since the weekend.

threatpost.com

http://www.eukhost.com/blog/webhosting/joomla-critical-zero-day-exploit-remote-command-execution-vulnerability/

www.eukhost.com

既にサポートが終了したバージョンに対しても、緊急パッチが出ているようです。バージョン3.4.6にできない場合（プラグインに互換性がないので・・・）もパッチを当てておくべきですね。

私は更新しましたが、ためしにレンタルサーバーについているインストーラーを使って実験用サイト（このページのサブディレクトリ）を更新してみたら、アクセスできなくなってしまい削除しました。

（サーバーのインストーラーから）コアだけ更新しても、サイトにアクセスするようにといわれたので、面倒ですが一つずつやったほうが良いかもしれません。