「Joomla!」が今月2度目のアップデート - 脆弱性はPHPに起因
コンテンツマネジメントシステム(CMS)の「Joomla!」において、深刻な脆弱性を解消するアップデートがあらたに公開された。12月中旬に判明した脆弱性の詳細が判明し、さらなる修正を行ったという。
「Joomla!」のセキュリティ対策チームが、セキュリティアップデートとなる「Joomla! 3.4.7」を公開したもの。アップデートを強く推奨している。
同チームでは、ゼロデイ攻撃が発生しているとの報告を受けて、前回アップデート「同3.4.6」を緊急公開しているが、その後の調査で、同問題がPHPの脆弱性に起因することがあきらかになったと説明。
PHPの脆弱性は、9月に公開された「PHP 5.4.45」「同5.5.29」「同5.6.13」で修正されているが、今回公開した「Joomla! 3.4.7」により、サポート中であるすべてのPHPに対応するとしている。またSQLインジェクションへの対策として、「MySQLiドライバ」のセキュリティ強化をあわせて実施した。
前回判明した脆弱性に関しては、これまでもHASHコンサルティングの徳丸浩氏が、「同3.4.6」公開後に検証結果をブログで公開、ゼロデイ攻撃が発生しているとの報告に対し、PHPにおける既知の脆弱性「CVE-2015-6835」に起因する問題であり、「Joomla!」の重大な脆弱性ではないと指摘していた。
(Security NEXT - 2015/12/24 )
ツイート
PR
関連記事
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み
「GitLab」に5件の脆弱性 - 最新パッチで修正
「SonicOS」にリモートよりDoS攻撃を受けるおそれ - 修正版を公開
NVIDIAのAI開発フレームワーク「NeMo」に3件の脆弱性