Новая версия Joomla 3.6.5 содержит усиленные механизмы защиты.
Обновление Joomla – версия 3.6.5 – содержит механизм безопасности, который ограничивает действия пользователей, могущих нанести вред конфигурации системы, а именно ограничивает возможность создания новых пользовательских групп ("New User Registration Group" и "Guest User Group") с правами Суперадминистратора, ограничивает возможность для пользователей с низким уровнем доступа изменять настройки для группы Суперадминистратора.
Кроме того, внесены изменения в метод JUser::authorise(), которые обеспечивают возвращение только логического результата, исключая возвращения null.
Если разработчики считают необходимым получать null-значение из этого метода, то вместо него необходимо использовать метод JAccess::check(), который возвращает как булевые так и null-значения.
Как сообщают разработчики в этой версии также устранены следующие уязвимости:
1. Некорректная работа кода показа статей ограниченного доступа компонентом com_content шаблона Beez3 – присутствует в версиях J3.0.0.-J3.6.4
2. Возможность загрузки файлов с альтернативным PHP-расширением. Beez3 – присутствует в версиях J3.0.0.-J3.6.4
3. Некорректное описание нефильтрованных данных записываемых в сессию, в случае неправильного заполнения формы, позволяющее изменять существующие пользовательские аккаунты, включая сброс логина, пароля и группы пользователя – присутствует в версиях 1.6.0 - 3.6.4
Замечу, что устранение уязвимости № 3 уже было декларировано в версии 3.6.3 и 3.6.4. Однако даже после обновления до 3.6.4 на наших сайтах, в частности, наблюдался сброс пароля суперадминистратора . Решить проблему удалось только путем создания пустых файлов для сброса логина-пароля в папке шаблона. Однако это решение не годится для сайтов с активными пользователями и может быть только временным.
Перед обновлением обратите внимание на следующее!
1. Версия PHP должна быть не менее 5.3.
2. Если у Вас установлена версия Akeeba Backup меньше 5:
- перед обновлением Joomla до версии 3.6.5, обновите компонет Akeeba Backup до последней версии через менеджер компонентов.
- проведите автоматическую конфигурацию компонента.
- после этих действий обновите Joomla.