Actualités sécurité autour de Joomla! et ses extensions

actu securiteLe projet Joomla! annonce la mise à disposition immédiate de Joomla 2.5.25, cette mise à jour de sécurité doit être appliquée le plus rapidement sur tous les sites de production utilisant la version 2.5.24 et antérieures.

Depuis la parution de Joomla 2.5.24 le 25 juillet 2014, 1 faille de sécurité mineure et des corrections que vous pouvez consulter sur cette page auront été portés pour cette version.

Comme il a eté indiqué précédemment, la branche de Joomla 2.5 arrivera au bout de son développment à la fin de cette année 2014. Il y aura peut-être une dernière version de maintenance 2.5.26, qui marquera la fin du support officiel. Vous avez encore quelques mois pour passer vers Joomla 3, les divers forums de support de la communauté française sont là pour vous conseiller et vous aider à passer cette étape.

Les versions francophones devraient être disponibles dans les prochaines heures. Le but de l'équipe de production est de continuer à fournir des mises à jour régulières et fréquentes à la communauté Joomla.

Télécharger Joomla 2.5.25 (version anglaise)

Accéder à la liste des patches (versions anglaise)

Consulter l'annonce officielle sur Joomla.org

piratgeL'extension Joomla Face Gallery est victime de plusieurs failles de type RFI et SQL qui pourraient permettre la mise en danger d'un serveur vulnérable.

Cette faille est confirmée sur la version 1.0 pour Joomla 3.x, les versions antérieures sont probablement aussi concernées.

Nous vous conseillons de ne plus utiliser cette extension dans l'attente d'un correctif de sécurité de l'éditeur.

Editeur: Apptha.com

Source : Homelab.it

piratgeL'extension Joomla Mac Gallery est victime d'une faille de type téléchargement de fichier arbitraire qui pourrait permettre la mise en danger d'un serveur vulnérable.

Cette faille est confirmée sur la version 1.5 pour Joomla 1.5.x, 2.5.x, 3.x, les versions antérieures sont probablement aussi concernées.

Nous vous conseillons de ne plus utiliser cette extension dans l'attente d'un correctif de sécurité de l'éditeur.

Editeur: Apptha.com

Source : Homelab.it

sec life privL'extension Spider Contacts est victime d'une faille de type injection SQL qui pourrait permettre la mise en danger d'un serveur vulnérable.

Cette faille est présente sur la versions 1.3.6 Lite et Pro (payante), les versions antérieures sont probablement aussi concernées.

Nous vous conseillons de ne plus utiliser cette extension dans l'attente d'un correctif de sécurité de l'éditeur.

Editeur: Editeur : Web Dorado

Source : Source : Exploit DB

piratgeAu cours d'une vérification de routine l'équipe de Sucuri a détecté une vulnérabilité critique dans l'extension VirtueMart qui pourrait être utilisée par un utilisateur malveillant afin d'obtenir facilement les privilèges de super-administrateur d'un site web.

En effet avec un accès super-administrateur, l'attaquant pourrait prendre le contrôle total d'un site et de sa base de données. Le bug a été découvert la semaine dernière et a immédiatement été corrigé par l'équipe VirtueMart.

Nous vous conseillons d'installer rapidement la dernière mise à jour disponible sur le site de l'éditeur (dernière version en date au 11/09/2014 : 2.6.10c).

Editeur : Virtuemart

Source : Sucuri.net