Важно Срочно обновляемся до Joomla 3.3.5

Security-release Joomla 3.3.4 продержался на гребне волны очень недолго. На смену ему оперативно пришел Joomla 3.3.5, также - ВНИМАНИЕ! - являющийся релизом безопасности:

JOOMLA 3.3.5 STABLE

Доступна к загрузке Joomla 3.3.5. Исправлено 9 ошибок предыдущего релиза, в том числе одна уязвимость среднего уровня и одна уязвимость высокого уровня. Разработчики Joomla рекомендуют всем пользователям Joomla 3 незамедлительно обновиться до Joomla 3.3.5

Описание уязвимостей:

• Core - Remote File Inclusion - Ошибка позволяет включить код удаленного файла, код которого может быть выполнен.
• Core - Denial of Service - Ошибка позволяет выполнить атаку для отказа в обслуживание.

Ха. Недолго пришлось ждать следующий релиз... Joomla 3.3.6 доступна! а также, соответственно, и Joomla 2.5.27.

Для обновления из панели управления у вас должна быть установлена версия 3.2.2 - 3.3.4. Более старым версиям будет предложено обновление до версии 3.2.7. Только после этого вы сможете обновиться до версии 3.3.6. Напомним, что для Joomla 3.3.6 необходима версия PHP 5.3.10+.

Внимание!
Из-за бага в компоненте обновлений с версии 3.3.5 до версии 3.3.6 можно обновиться только через "Менеджер расширений". Скачайте пакет обновлений выше, зайдите в "Менеджер расширений" и установите этот пакет обновлений как обычное расширение.

Устранение уязвимостей в Joomla 3.3.6 (были исправлены в 3.3.5):

• Высокий приоритет - Ядро - Удаленное подключение файла.
• Средний приоритет - Ядро - DoS.

Исправления ошибок в Joomla 3.3.6
Были исправлены ошибка со сбросом пароля пользователя и ошибка в компоненте обновлений. Подробности - как всегда, на joomla.org.

Да уж , уязвимости .... взломали опять сайт
Обновился уже, бекап откатил, опять долбят чеж им всем надо ботам молдавским(ip)

Sergos пишет: Да уж , уязвимости .... взломали опять сайт

Sergos, скажите честно, вы пробовали выполнить мои рекомендации - отключить в php ненужные и опасные функции, включить open_basedir, проследить за тем, чтобы permissions файлов и каталогов были безопасными ? Давайте сейчас для простоты примем следующую формулу: проблемы безопасности движка, уязвимости extensions - вторичны, а приоритетны в контексте безопасности - все же опции php. Если вы замуровали, образно говоря, стену - вам до балды, сложный или простой был там когда-то замок в двери.

Делал все это? или понадеялся на RSFirewall и забил на остальное? Вторая аналогия - костыли нужны только хромому. А ведь и антивирь, и firewall - не более чем костыли, workaround. Есть и третья аналогия - что-то там в плане русской народной пословицы про боржоми и давно пропитую печень. Не надейся на костыли, зри в корень.... корень здесь - php-интерпретатор.

В php непонимаю потому не лез. С правами все стоит по умолчанию 755/644 , ну и перенес файл конфигурации и папку тмп из корня + Рс фаер . Ну и все что я сделал, на полгода почти хватило залетных ботов отшивало хорошо,пока не пришел кто-то и не взялся основательно.

Sergos пишет: В php непонимаю потому не лез.

Придется разобраться, если хотите пресечь дальнейшие взломы вашего сайта. Простое и броское определение php-инъекции дает википедия, кстати. Взгляните . Понять, хотя бы основы, необходимо. Кстати, можно просто обратиться в саппорт вашего хостинга и попросить помочь в реализации директив, которые я уже приводил .