Joomla met à jour sa dernière version pour remédier à trois failles de sécurité

(Mis à jour le: 13 novembre 2015)
Evaluer cet article

Joomla a constaté d’importantes faiblesses au niveau de la sécurité et a donc fait une mise à jour en conséquence en sortant la nouvelle version 3.4.5. Les failles sont présentes dans les versions antérieures (3.0/3.2) et ouvrent l’accès aux droits d’administrateur sur le site. Les utilisateurs feraient donc mieux de faire leur mise à jour de version sans tarder.

Très fréquemment utilisés dans le domaine Internet, les logiciels de gestion de contenu ou CMS ne cessent de subir des mises à jour pour renforcer davantage les conditions de sécurité. Joomla s’y met à son tour en développant une nouvelle version (3.4.5.). D’après l’éditeur, les problèmes rencontrés concernent les versions 3.x et cette mise à jour devrait permettre de remédier à « une faille de sécurité critique ». Par conséquent, les équipes de Joomla recommandent vivement aux utilisateurs de mettre rapidement leur logiciel à jour.

Joomla le logo Joomla

Les informaticiens ont observé trois failles, dont la première est liée à une injection SQL (CVE-2015-7297, CVE-2015-7857 et CVE-2015-7858). Les deux autres (CVE-2015-7859 et CVE-2015-7899) concernent une liste de contrôle d’accès, ce qui peut certainement rendre des données accessibles, alors que celles-ci devraient être sous rude protection. Dans sa configuration de base (version 3.2 datant de novembre 2013), les failles sont utilisables. Il n’est pas nécessaire de recourir à l’installation de module en plus.

Joomla n’a pas révélé davantage de détails, mais l’une des entreprises ayant découvert ces trous a expliqué à travers un billet de blog ce qu’il en est plus concrètement. Trustwave, en se fondant sur des estimations et rapports, déclare que Joomla est utilisé par plus de 2.8 millions de sites dans le monde.

Menaces concernant l’administration des sites

Par ailleurs, l’association de ces trois brèches donnerait accès à l’administration d’un site créé sous Joomla. Trustwave précise aussi qu’il n’est possible d’exploiter ces failles qu’à condition que l’administrateur se connecte sur le site. Il faudrait donc se déconnecter de tout compte admin tant qu’on ne peut pas faire la mise à jour de sécurité.

Pourtant, malgré ces imperfections, Joomla demeure l’un des CMS les plus utilisés au monde, si l’on compare aux autres références comme Drupal et WordPress. Joomla 3.4.5 est un moyen de combler les failles critiques dans le logiciel.

Quel CMS utiliser ?: http://www.redigeons.com/?p=1535

Quand le CMS découvre une brèche, cela concerne forcément la sécurité et met en péril les milliers de site web dans le monde. A titre de rappel, ce genre de faiblesse, lorsqu’il ouvre la voie à la réinitialisation du mot de passe admin, avait permis il y a quelques temps à un pirate de contrôler presque tous les sites créés sous Joomla. Il existe également d’autres brèches qui apparaissent régulièrement. Celle qui a été découverte dernièrement ne constitue pas une exception à la règle. Cette alerte concernant la sécurité concerne même certaines versions 3.4.4 de Joomla. Elle compte aussi des vulnérabilités critiques type injection SQL, grâce auxquelles les pirates obtenir certains  privilèges  en tant qu’administrateur sur un bon nombre de sites sous Joomla.

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload CAPTCHA.