主要更新“碎片漏洞”,防止用户往Joomla网站上添加恶意内容。
关键字:Joomla,研究和报道,安全
根据周一Krebs的安全报告来看,Joomla在7月底发布了一个关键的升级,修复了可让用户在Joomla网站上注入恶意内容的“碎片漏洞”。
网络安全公司Versafe发现,漏洞利用可使黑客利用恶意软件和网络欺诈“劫持”Joomla网站。它还发现自然环境下零日攻击,可以使黑客控制受损的系统。
Versafe周一发布了一份报告,总结了发现的漏洞并针对攻击进行了详细的描述。
“由于托管于合法Joomla网站的网络欺诈和恶意软件的攻击急速增加,引起了我们的对此漏洞的关注。这一系列攻击利用此漏洞,并且特别活跃和广泛,超过50%的客户和EMEA的其他人都成了攻击目标,并且最终成功地感染了正常网站上不知情的用户。Versafe通过共享密匙的特殊性来全力帮助Joomla的大批平台用户和终极用户。”Versafe的CEO Eyal Gruner说道。
“Joomla于7月31日发布的补丁,适用于Joomla 2.5.13和更早的2.5.X版本,同样还适于Joomla3.1.4系列和早之前的3.X版本。根据Joomla的2.5.14和3.1.5的版本,补丁改进了非特权用户在文件名尾部添加的时期就可以上传任意的.PHP文件的漏洞。”Krebs补充道。
今年7月,Prolexic发布了DDOS在2013年第二季度的趋势分析报告,强调了第二季度DDOS攻击在规模、寿命和强度有所增强的部分原因是Joomla网站不断妥协。
Versafe表示2013年上半年他们的客户受到了成千上万的攻击,其中57%的客户都托管在基于Joomla的网站上。
今年早些时候,包括GoDaddy等主机商也遭到Joomla攻击。
