Sécurité Joomla!
Actualités sécurité autour de Joomla! et ses extensions
- Détails
- Stéphane Bourderiou
Une faille importante de sécurité vient d'être détectée dans le composant de gallerie Expose4. Nous conseillons vivement aux utilisateurs de ce dernier d'appliquer les correctifs au plus vite.
L'opération est très simple, via votre client de FTP, vous devez supprimer les fichiers uploadimg.php et uploadimage.php , présents dans le répertoire administrator/components/com_expose/, et d'appliquer le patch fixant les vulnérabilités.
Pour rappel, Expose est un composant en Flash qui vous permet de créer des diaporamas de très bonne qualité.
Télécharger le patch de sécurité
- Plus d'informations sur cette faille ( forum anglais)
- Détails
- livestyler
Nous vous signalons qu'une vulnérabilité dans le module de newsletter Letterman subscribe nécéssite une mise à jour de sécurité vers la version 1.2.5. Nous vous conseillons vivement de télécharger cette nouvelle release le plus rapidement possible.
Pour information : il vous suffit simplement de désinstaller le module et de procéder à une nouvelle installation classique, aucune de vos précédentes newsletter n'en seront pas affectées.
Télécharger letterman 125
- Détails
- Stéphane Bourderiou
Une vulnérabilité a été identifiée dans JoomlaPack (module pour Joomla), elle pourrait être exploitée par un attaquant distant afin de compromettre un serveur web vulnérable. Ce problème résulte d'une erreur d'inclusion présente au niveau du script "includes/CAltInstaller.php" qui ne filtre pas le paramètre "mosConfig_absolute_path", ce qui pourrait être exploité afin d'inclure un script PHP malicieux et exécuter des commandes arbitraires avec les privilèges du serveur web.
- Détails
- Stéphane Bourderiou
Cet update fixe les bugs présent de la version 1.0.8 et une complète compatibilité avec Joomla! 1.0.12, la mise à jour de votre installation est fortement recommandée.
Accéder à la page de téléchargement de la version 1.0.9
- Détails
- Stéphane Bourderiou
Information du 08/12/2006
Plusieurs vulnérabilités ont été identifiées dans JCE Admin (module pour Joomla), elles pourraient être exploitées par des attaquants distants afin d'accéder à des informations sensibles ou afin d'exécuter un code JavaScript malicieux.
Le premier problème résulte d'erreurs présentes au niveau du fichier "jce.php" qui ne filtre pas correctement les variables "plugin" et "file", ce qui pourrait être exploité par des attaquants distants afin d'inclure des fichiers locaux présents au sein d'un système vulnérable.
La seconde faille résulte d'erreurs présentes au niveau du script "jce.php" qui ne filtre pas les paramètres "img", "title", "w" et "h", ce qui pourrait être exploité par des attaquants afin d'injecter un code HTML/Javascript malicieux coté client.
Versions Vulnérables
JCE Admin (module pour Joomla) version 1.1.0 beta 2 et inférieures
JCE Admin (module pour Joomla) version 1.0.4 (avec patch de sécurité 21-08-2006) et inférieures
Solution
Aucun correctif officiel n'est disponible pour l'instant.
Références
http://www.frsirt.com/bulletins/8262
Nous ne pouvons que féliciter la réactivé des créateurs de ce composant qui viennent de mettre en ligne, une mise à jour corrigeant toutes ces failles.
Nous vous conseillons vivement d'installer rapidement cette mise à jour.
Plus d'informations sur le téléchargement de cette mise à jour.