Joomla 3.7.1がリリース！Joomlaの脆弱性に備えるべし

Joomla 3.7に「SQLインジェクション」の脆弱性があることが判明し、脆弱性を修正したJoomla 3.7.1のアップデートがリリースされました。

Joomla! 3.7.1は出たようですが、アナウンスはどこだ?

— 徳丸 浩 (@ockeghem) 2017年5月17日

Joomla 3.7.1で修正された脆弱性

Joomla3.7.1では、「SQLインジェクション」と9つのバグが修正されました。

今度のJoomlaの脆弱性は深刻です。放置しておくと、ウェブサイトに深刻な被害をもたらす可能性が高いので、Joomlaでサイトを構築している方は、早急にJoomla 3.7.1へアップデートをしてください。

Security Issues Fixed

High Priority – Core – SQL Injection (affecting Joomla! 3.7.0)

Bug Fixes

• Fixed attribute checks in the new calendar
• Inject the JInput dependency into the session handler
• Fix b/c break in JMenuItem
• Fix article ordering in the backend
• Fix milliseconds handling in for PHP Versions lower to 7.1.0
• Fixing JFilterInput adding byte offsets to character offset
• Redirection fails on multiple status values produced by old FOF2
• Extensions
• Remove empty locked cache file if callback function terminate process
• Visit GitHub for the full list of bug fixes.

Joomla! 3.7.1 Release

「SQLインジェクション」とは？

「SQLインジェクション」についてはWikipediaに詳しい説明があります。

SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。

「SQLインジェクション」の脆弱性を放置すると、どんな被害があるのか？

「SQLインジェクション」を放置すると、ウェブサイトにどんな被害があるのか見ていきましょう。

• 第三者によって、CMSに勝手にログインされる
• データベースのデータをダウンロードされる
• ウェブサイトを改ざんされる
• Iframeタグで埋め込まれた別のサイトからウィルスを感染させられる

Joomlaの脆弱性を狙った攻撃は増えている

過去1年半を振り返ってみると、Joomlaの脆弱性を狙った攻撃は頻繁に起こっています。
被害の大きかった脆弱性を狙った攻撃は、過去1年半の間に3件もありましたからね。

2015年12月、Joomla3.6.4以前の脆弱性を狙った攻撃が行われ、Joomla3.4.6以前が軒並みバックドアを仕組まれるなどの被害がありました。

Joomlaに深刻な脆弱性！アップデートは必須です

ここ数日間で、Joomlaの脆弱性をついた攻撃がめちゃくちゃ増えています。 Joomla 3.4.6以前のバージョンを使っている方は、軒並みやられています。 Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因 レンタル...

ischool.co.jp

2015.12.26

2016年3月にも、Joomlaの脆弱性を狙った攻撃がありました。

WordPress や Joomla でファイルの改ざん・・CMSのシェアもあり

ここ2週間、WordPress や Joomla などで、CMSの構成ファイルの改ざんが行われています。 PHPファイルが改ざんされると、閲覧者のブラウザに不正なコードが挿入されてマルウェアに感染してしまいます。 かなり被害は拡大しているの...

ischool.co.jp

2016.03.09

2016年10月にも、Joomlaの脆弱性を狙った攻撃があり、Joomla3.6.4がリリースされましたからね。

Joomla3.6.4へアップデートして脆弱性に備える！

Joomla3.6.4がリリースされました。 Joomla! 3.6.4 Released Joomla3.4.6から3.6.3を使っている方は、大至急Joomla3.6.4へアップデートしてください。2つの脆弱性、2段階認証の不具合が修正...

ischool.co.jp

2016.10.31

Joomlaで脆弱性に対処するには

Joomlaで脆弱性に対処するには、次の2つのことを必ず行ってください。

• 最新版のJoomlaへアップデートする
• プラグインも最新版へアップデートする

Joomlaのサイトがハッキングされたかどうかを確認する方法

自社で管理しているJoomlaのサイトがハッキングされたかどうかは、以下のサービスを利用すれば確認することが可能です。

HOW TO CLEAN A HACKED JOOMLA! SITE

CMSのシェアは？

W3TechsによるCMSのシェアを見てみます。

海外のCMSのシェアは、WordPressのシェアは59%に対して、Joomlaのシェアは6.9%です。

日本のCMSのシェアは、WordPressのシェアが82.7%と圧倒的です。おそらくJoomlaは1%未満だろうね。

WordPressと比較すると、Joomlaのシェアは圧倒的に少ないです。

でもね、Joomlaの脆弱性を狙った攻撃は、WordPressと同様に深刻です。

まとめ

JoomlaだけでなくWordPressなどのCMSを使う場合、脆弱性を狙った攻撃に対して、しっかりと対策をすることが重要です。

2017年2月には、WordPressの脆弱性を狙った攻撃もで、6万以上のウェブサイトが改ざんされていますからね。

WordPress 4.7.2へアップデートする際の注意点！脆弱性に備えるべし

WordPressで脆弱性が発見されました。 WordPress 4.7.0、4.7.1をお使いの方は、すぐにでも WordPress 4.7.2へアップデートしてください。 WordPress 4.7.0、4.7.1では、外部よりウェブサ...

ischool.co.jp

2017.02.08

WordPressは日本語の情報が多いですが、Joomlaは日本語の情報がほとんどありません。
なので、Joomlaを使ってサイトを構築している場合、セキュリティや脆弱性に関する情報収集を、必ず行うようにしてくださいね。

当サイトでも、可能な限りJoomlaやWordPressの脆弱性の情報を提供していきます。

Joomlaで2段階認証を設定する

Joomlaを使ってサイト運営している方は、必ず管理画面へのアクセスに2段階認証を掛けるようにしましょう。 Joomlaは、「ドメイン/administrator」で管理画面へのログイン画面がでます。サイトの乗っ取りを仕掛けるハッカーは、手...

ischool.co.jp

2016.10.11