先日、Joomlaにセキュリティアップデート3.4.5が当たったばかりですが、3.4.6が公開されました。
またも、深刻な脆弱性が修正されています。影響を受けるバージョンは1.5から3.4.5ということですから、すべてのJoomlaサイトがアップデートされる必要があります。
脆弱性の内容
セッションをデータベースに保存する際に、任意のコードを実行される可能性があったそうです。
つまり、悪意あるユーザーがサイトへアクセスすれば、サイトを乗っ取られるということに近いと思います。
ゼロデイ攻撃が確認されているようです。
既にサポートが終了したバージョンに対しても、緊急パッチが出ているようです。バージョン3.4.6にできない場合(プラグインに互換性がないので・・・)もパッチを当てておくべきですね。
私は更新しましたが、ためしにレンタルサーバーについているインストーラーを使って実験用サイト(このページのサブディレクトリ)を更新してみたら、アクセスできなくなってしまい削除しました。
(サーバーのインストーラーから)コアだけ更新しても、サイトにアクセスするようにといわれたので、面倒ですが一つずつやったほうが良いかもしれません。