解釋“反序列化”:
當(dāng)兩個進(jìn)程在進(jìn)行遠(yuǎn)程通信時,彼此可以發(fā)送各種類型的數(shù)據(jù)。無論是何種類型的數(shù)據(jù),都會以二進(jìn)制序列的形式在網(wǎng)絡(luò)上傳送。發(fā)送方需要把這個對象轉(zhuǎn)換為字節(jié)序列,才能在網(wǎng)絡(luò)上傳送;接收方則需要把字節(jié)序列再恢復(fù)為對象。 把對象轉(zhuǎn)換為字節(jié)序列的過程稱為對象的序列化。 把字節(jié)序列恢復(fù)為對象的過程稱為對象的反序列化。
這個是Joomla發(fā)現(xiàn)的已知漏洞,Joomla代碼不嚴(yán)謹(jǐn)可直接執(zhí)行PHP代碼,黑客可用于入侵網(wǎng)站。受影響的Joomla版本包括3.4.5及其以下的所有版本。所以這是一個非常新的漏洞發(fā)現(xiàn),還好我們創(chuàng)建3.4以后的網(wǎng)站安全性和穩(wěn)定性都有一定保障,還未出現(xiàn)此類問題。但是,處于嚴(yán)禁的做事方式,還是要進(jìn)行漏洞排除。
修復(fù)方案:將Joomla版本升級為3.4.6即可。 提示:記得在任何Joomla版本更新前做好網(wǎng)站備份。
六翼Joomla網(wǎng)站定制,專注Joomla解決方案!
