Joomla! News

Joomla! Projectfork Component "search" and "order" SQL Injection Vulnerabilities

SECUNIA ADVISORY ID:
SA55796

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/55796/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=55796

RELEASE DATE:
2013-11-28

DESCRIPTION:
Compass Security has reported two vulnerabilities in the Projectfork
component for Joomla!, which can be exploited by malicious people to
conduct SQL injection attacks.

Input passed via the "search" and "order" fields is not properly
sanitised before being used in a SQL query. This can be exploited to
manipulate SQL queries by injecting arbitrary SQL code.

The vulnerabilities are reported in versions prior to 3.0.11.

SOLUTION:
Update to version 3.0.11.

PROVIDED AND/OR DISCOVERED BY:
Stefan Horlacher, Compass Security

ORIGINAL ADVISORY:
Projectfork:
http://projectfork.net/blog/13-releases/56-projectfork-3-security-update-released

CSNC-2012-015:
http://www.csnc.ch/misc/files/advisories/COMPASS-2012-015_Projectfork_SQL_Injection_Vulnerability.txt

นับถอยหลัง อีกเพียงไม่กี่วันก็จะถึงงาน JoomlaDay Bangkok

5 วันสุดท้ายสำหรับการเปิดรับลงทะเบียนเข้างาน Joomla!Day™ Bangkok 2013 งานประจำปีสำหรับชาว Open Source CMS งานนี้ท่านจะได้พบกับหลายหลายวิทยากร ระดับ Top ของแต่ Community จากต่างประเทศ งานแรกที่ท่านจะได้พบกับนายกสมาคมฯ ถึง 3 สมาคมที่เกี่ยวข้องกับโลกออนไลน์

นอกจากนี้ภายในงาน ท่านยังจะได้ร่วมลุ้น รับรางวัล รวมมูลค่ากว่า 100,000 บาท สำหรับท่านที่สนใจการทำเว็บไซต์และการนำโอเพนซอร์สมาใช้ในธุรกิจ ท่านจะได้พบกับผู้คร่ำหวอดในวงการโอเพนซอร์สทั้งจากในประเทศและต่างประเทศ มาร่วมกับแชร์ประสบการณ์ให้ท่านได้รับทราบว่าในโปรเจคโอเพนซอร์สนั้นมีการดำเนินการกันอย่างไร ซึ่งไม่ได้หาฟังกันได้ง่ายๆ ครับ

ใครที่ยังไม่ได้ลงทะเบียนคงต้องรีบลงทะเบียนและชำระเงินโดยด่วน ที่นั่งมีอีกเพียงเล็กน้อยเท่านั้น ลงทะเบียนและดูรายละเอียดได้ที่ http://www.joomladay.in.th

Joomla! Multiple Cross-Site Scripting Vulnerabilities

SECUNIA ADVISORY ID:
SA55573

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/55573/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=55573

RELEASE DATE:
2013-11-07

DESCRIPTION:
Multiple vulnerabilities have been reported in Joomla!, which can be
exploited by malicious people to conduct cross-site scripting
attacks.

1) Certain unspecified input related to the com_contact component is
not properly sanitised before being returned to the user. This can be
exploited to execute arbitrary HTML and script code in a user's
browser session in context of an affected site.

2) Certain unspecified input related to the com_contact,
com_weblinks, and com_newsfeeds components is not properly sanitised
before being returned to the user. This can be exploited to execute
arbitrary HTML and script code in a user's browser session in context
of an affected site.

3) Certain unspecified input related to the com_contact component is
not properly sanitised before being returned to the user. This can be
exploited to execute arbitrary HTML and script code in a user's
browser session in context of an affected site.

The vulnerabilities are reported in versions prior to 2.5.15, 3.1.6,
and 3.2.

SOLUTION:
Update to version 2.5.15, 3.1.6, or 3.2.

PROVIDED AND/OR DISCOVERED BY:
The vendor credits Osanda Malith.

ORIGINAL ADVISORY:
Joomla!:
http://www.joomla.org/announcements/release-news/5516-joomla-3-2-0-stable-released.html
http://www.joomla.org/announcements/release-news/5517-joomla-2-5-15-released.html
http://developer.joomla.org/security/news/570-20131101-core-xss-vulnerability
http://developer.joomla.org/security/news/571-20131102-core-xss-vulnerability
http://developer.joomla.org/security/news/572-20131103-core-xss-vulnerability

Joomla! 3.2.0 รุ่นเสถียร ออกแล้ว

โครงงานและชุมชน จูมล่า มีความตื่นเต้นและภูมิใจที่ได้ประกาศ Joomla! CMS 3.2 รุ่นเสถียร ออกมาให้ได้ดาวน์โหลดกันแล้วครับ

Joomla! 2.5.16 ออกแล้ว

ทีม Joomla! Project ได้ปล่อย Joomla 2.5.16 ตามอกมาทันที หลังจากที่เพิ่งปล่อยรุ่น 2.5.15 ออกมา เพื่อแก้ไขปัญหาที่เกิดขึ้นในรุ่น 2.5.15 ที่ยังมีอยู่ โดยปัญหาเรืองความปลอดภัยที่ได้แก้ไข ก็มีอยู่ 3 อย่าง เช่นเดิม และรายละเอียดอื่นๆ ที่แก้ไขไป ก็ยังคงเหมือนเดิมครับ

สำหรับท่านใด ที่ได้ทำการดาวน์โหลดรุ่น 2.5.15 ไปใช้งานแล้ว จะไม่สามารถอัพเดทไปเป็นรุ่น 2.5.16 ได้ จึงต้องทำการอัพเดทผ่านการดาวน์โหลดไฟล์แพคเกจจาก http://joomlacode.org/gf/download/frsrelease/18859/91475/Joomla_2.5.15_to_2.5.16-Stable-Patch_Package.zip ไปทำการติดตั้งผ่านหน้าการจัดการส่วนเสริมด้วยตัวเอง

โดยรุ่นนี้ได้มีการแก้ไขปัญหาเรื่องความปลอดภัยที่เกิดขึ้น ซึ่งเป็นไปตามเป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลืออย่างสม่ำเสมอ เพื่อชุมชน Joomla! โดยท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่เว็บไซต์นักพัฒนา.

ส่วนขั้นตอนการอัพเดตนั้นง่ายมาก สามารถอ่านคำแนะนำที่สมบูรณ์ได้จากที่นี่ โดยวิธีนี้ เป็นวิธีการที่ง่าย และดีกว่าการอัพเดตด้วยวิธีการ FTP ไฟล์ขึ้นไปทับแล้วครับ

Joomla! 2.5.15 ออกแล้ว

ทีม Joomla! Project ได้ปล่อย Joomla 2.5.15 ออกมาให้ได้ใช้งานกันอีกแล้ว โดยรุ่นนี้ได้มีการแก้ไขปัญหาเรื่องความปลอดภัยที่เกิดขึ้น ซึ่งเป็นไปตามเป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลืออย่างสม่ำเสมอ เพื่อชุมชน Joomla! โดยท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่เว็บไซต์นักพัฒนา.