发现严重的 Joomla 漏洞,但我们已经为您提供了保障!
Posted: Wed Feb 19, 2025 6:28 am
安全
现在是仲夏,但安全问题却没有休息。事实上,它们在最不合适的时间出现,让我们的生活变得更加有趣,至少可以这么说。7 月 25 日星期四,Joomla!项目宣布推出 Joomla 3.1.4/2.5.13,许多用户升级了他们的网站,因为新版本提供了大量有用的新功能和错误修复。人们会想:干得好,是时候去海滩了!但是……8 月 1 日星期四,Joomla!项目出人意料地宣布立即推出 Joomla!3.1.5/2.5.14。显然,没有太多时间可以品尝异国情调的夏季鸡尾酒。两个版本之间间隔如此之短的原因是,在上一个版本发布后不久发现了一个 关键级别的安全问题 ,并且它可能会影响所有 Joomla!CMS 版本。是的,没错——我们说的是所有的 Joomla!网站。所有版本均受影响 - 1.5、1.6、1.7、2.5 和 3。听起来很可怕,对吧?如果您托管在 SiteGround 服务器上,那就不会了!
漏洞解释
该漏洞允许通过媒体管理器攻击 Joomla 网站。要利用该漏洞,攻击者应找到允许其注册用户访问媒体 比利时电报数据 管理器的 Joomla 网站。然后,攻击者将注册一个帐户,并利用该漏洞通过媒体管理器将恶意 shell 脚本上传到此网站。之后,攻击者几乎可以做任何事情 - 编辑您的文件、访问您的数据库、删除信息等。
我们如何为所有客户解决这个问题?
步骤 1:我们应用了服务器级解决方案
漏洞一经公布,我们的安全团队便开始开发服务器级补丁。当出现可能影响大量安装的问题时,这是我们的标准做法。我们的想法是为 SiteGround 托管的所有 Joomla 网站创建一层保护,无论其当前版本如何。我们仔细分析了漏洞、漏洞利用和有效载荷,并想出了巧妙的解决方案,在服务器级别阻止通过媒体管理器上传恶意文件。
第 2 步:升级 Joomla 2.5 和 3
我们的 Joomla! 自动更新系统将服务器上的 2.5.x/3.x 应用程序升级到新版本 2.5.14 和 3.1.5。Joomla 组织及时发布了这些版本,并且不再存在漏洞。我们开发的自动更新系统再次确保了客户网站的安全,客户无需付出任何努力。
步骤3:修补Joomla 1.5
由于 Joomla 1.5 不再受官方支持,因此无法对其进行升级。不过,Joomla 团队已发布了一个需要手动应用的安全补丁,我们付出了额外的努力,亲自手动修补了我们服务器上托管的所有旧 Joomla 版本。
如果您不是由 SiteGround 托管的,该怎么办?
Joomla! 2.5.x 和 3.x 网站的官方解决方案是将您的应用程序升级到最新稳定版本 – 2.5.14和3.1.5。Joomla! 1.5.x 用户应下载此 Joomla 补丁,提取 .zip 文件并手动将随附的文件上传到位。
总而言之,如果您是 SiteGround 客户,您可以坐下来享受您的暑假,我们为您提供保障!否则,您将不得不放下鸡尾酒,在为时已晚之前修补您的 Joomla!网站。当然,您可以随时转移给我们。
现在是仲夏,但安全问题却没有休息。事实上,它们在最不合适的时间出现,让我们的生活变得更加有趣,至少可以这么说。7 月 25 日星期四,Joomla!项目宣布推出 Joomla 3.1.4/2.5.13,许多用户升级了他们的网站,因为新版本提供了大量有用的新功能和错误修复。人们会想:干得好,是时候去海滩了!但是……8 月 1 日星期四,Joomla!项目出人意料地宣布立即推出 Joomla!3.1.5/2.5.14。显然,没有太多时间可以品尝异国情调的夏季鸡尾酒。两个版本之间间隔如此之短的原因是,在上一个版本发布后不久发现了一个 关键级别的安全问题 ,并且它可能会影响所有 Joomla!CMS 版本。是的,没错——我们说的是所有的 Joomla!网站。所有版本均受影响 - 1.5、1.6、1.7、2.5 和 3。听起来很可怕,对吧?如果您托管在 SiteGround 服务器上,那就不会了!
漏洞解释
该漏洞允许通过媒体管理器攻击 Joomla 网站。要利用该漏洞,攻击者应找到允许其注册用户访问媒体 比利时电报数据 管理器的 Joomla 网站。然后,攻击者将注册一个帐户,并利用该漏洞通过媒体管理器将恶意 shell 脚本上传到此网站。之后,攻击者几乎可以做任何事情 - 编辑您的文件、访问您的数据库、删除信息等。
我们如何为所有客户解决这个问题?
步骤 1:我们应用了服务器级解决方案
漏洞一经公布,我们的安全团队便开始开发服务器级补丁。当出现可能影响大量安装的问题时,这是我们的标准做法。我们的想法是为 SiteGround 托管的所有 Joomla 网站创建一层保护,无论其当前版本如何。我们仔细分析了漏洞、漏洞利用和有效载荷,并想出了巧妙的解决方案,在服务器级别阻止通过媒体管理器上传恶意文件。
第 2 步:升级 Joomla 2.5 和 3
我们的 Joomla! 自动更新系统将服务器上的 2.5.x/3.x 应用程序升级到新版本 2.5.14 和 3.1.5。Joomla 组织及时发布了这些版本,并且不再存在漏洞。我们开发的自动更新系统再次确保了客户网站的安全,客户无需付出任何努力。
步骤3:修补Joomla 1.5
由于 Joomla 1.5 不再受官方支持,因此无法对其进行升级。不过,Joomla 团队已发布了一个需要手动应用的安全补丁,我们付出了额外的努力,亲自手动修补了我们服务器上托管的所有旧 Joomla 版本。
如果您不是由 SiteGround 托管的,该怎么办?
Joomla! 2.5.x 和 3.x 网站的官方解决方案是将您的应用程序升级到最新稳定版本 – 2.5.14和3.1.5。Joomla! 1.5.x 用户应下载此 Joomla 补丁,提取 .zip 文件并手动将随附的文件上传到位。
总而言之,如果您是 SiteGround 客户,您可以坐下来享受您的暑假,我们为您提供保障!否则,您将不得不放下鸡尾酒,在为时已晚之前修补您的 Joomla!网站。当然,您可以随时转移给我们。