「Joomla!」が今月2度目のアップデート - 脆弱性はPHPに起因
コンテンツマネジメントシステム(CMS)の「Joomla!」において、深刻な脆弱性を解消するアップデートがあらたに公開された。12月中旬に判明した脆弱性の詳細が判明し、さらなる修正を行ったという。
「Joomla!」のセキュリティ対策チームが、セキュリティアップデートとなる「Joomla! 3.4.7」を公開したもの。アップデートを強く推奨している。
同チームでは、ゼロデイ攻撃が発生しているとの報告を受けて、前回アップデート「同3.4.6」を緊急公開しているが、その後の調査で、同問題がPHPの脆弱性に起因することがあきらかになったと説明。
PHPの脆弱性は、9月に公開された「PHP 5.4.45」「同5.5.29」「同5.6.13」で修正されているが、今回公開した「Joomla! 3.4.7」により、サポート中であるすべてのPHPに対応するとしている。またSQLインジェクションへの対策として、「MySQLiドライバ」のセキュリティ強化をあわせて実施した。
前回判明した脆弱性に関しては、これまでもHASHコンサルティングの徳丸浩氏が、「同3.4.6」公開後に検証結果をブログで公開、ゼロデイ攻撃が発生しているとの報告に対し、PHPにおける既知の脆弱性「CVE-2015-6835」に起因する問題であり、「Joomla!」の重大な脆弱性ではないと指摘していた。
(Security NEXT - 2015/12/24 )
ツイート
PR
関連記事
ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令
UIライブラリ「Swiper」に深刻な脆弱性 - 利用アプリは注意
ウェブメール「Roundcube」の脆弱性2件が攻撃の標的に
オブジェクトストレージ「RustFS」にXSS脆弱性 - 乗っ取りのおそれも
「Trend Micro Apex One」に深刻な脆弱性 - アップデートで修正
「FinalCode Client」に複数の脆弱性 - 上書きインストールを
「ServiceNow AI Platform」に脆弱性 - 1月以降のアップデートで修正
「GitLab」にセキュリティアップデート - 複数脆弱性を修正
「Cisco Catalyst SD-WAN」に深刻な脆弱性 - すでに悪用も
「Firefox 148」で50件超の脆弱性を修正 - AI制御機能の追加も
