SECUNIA ADVISORY ID:
SA52668

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/52668/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=52668

RELEASE DATE:
2013-03-19

DESCRIPTION:
ByEge has reported a vulnerability in the RSFiles! component for
Joomla!, which can be exploited by malicious people to conduct SQL
injection attacks.

Input passed via the "cid" GET parameter to index.php (when "option"
is set to "com_rsfiles", "view" is set to "files", "layout" is set to
"agreement", and "tmpl" is set to "component") is not properly
sanitised before being used in a SQL query. This can be exploited to
manipulate SQL queries by injecting arbitrary SQL code.

The vulnerability is reported in version 1.0.0 Rev 11. Other versions
may also be affected.

SOLUTION:
No official solution is currently available.

PROVIDED AND/OR DISCOVERED BY:
ByEge

ORIGINAL ADVISORY:
ByEge:
http://byege.blogspot.dk/2013/03/joomla-component-rsfiles-cid-sql.html
http://www.exploit-db.com/exploits/24851/
 

ทีม Joomla! Project ได้ปล่อย Joomla! CMS 3.1 Beta1 ออกมาให้ได้ดาวน์โหลดไปทดสอบกันอีกแล้วครับ โดยทางทีมจูมล่าได้วางกำหนดการออกรุ่นจริงของจูมล่า 3.1 ไว้ว่าจะปล่อยให้ดาวน์โหลดแพคเกจติดตั้งได้ในวันที่ 25 มีนาคม 2013 ที่จะถึงนี้.

ซึ่ง Joomla 3 ยังเป็นรุ่นหลักของ Joomla CMS ครับ, โดยรุ่นต่อไปของ Joomla 3.0 นั้น จะเป็นรุ่น Joomla 3.1 ที่ถูกสนับสนุนในระยะเวลาสั้นๆ ในวงจรของการพัฒนา และตอบคำถามในการใช้งานหลังจากที่เราดาวน์โหลดไปใช้ สำหรับคนที่ใช้รุ่น 3.0 อยู่ในตอนนี้ หากต้องการจะอัพเดทจาก Joomla 3.0 ไปเป็น 3.1 นั้น จะทำการอัพเดทได้ง่าย จากระบบด้านผู้ดูแลหลังจากที่ทางทีมจูมล่าได้ออกรุ่นจริงครับ

แต่ในรุ่นเบต้านี้อย่านำไปอัพเกรดใด ๆ กับเว็บไซต์ของเราที่ใช้งานอยู่นะครับ เพราะยังเป็นรุ่นทดสอบอยู่ ทางทีมลายไทยเอง ก็ได้ทดลองดูแล้วพบว่า ในขั้นตอนการติดตั้งนั้น จะมีส่วนที่ใช้เวลานานพอสมควร ในขั้นตอนของการนำเข้าฐานข้อมูลครับ

ครั้งแรกกับการร่วมตัวกันของ Developer เพื่อช่วยกันแก้ไข Code ข้อผิดพลาดที่มีใน  Joomla 2.5 และ Joomla 3 ที่จะเกิดขึ้นในกรุงเทพ พร้อมๆ กับประเทศอื่นๆ ทั่วโลก ในวันเสาร์ที่ 16 มีนาคม 2556 โดยในกรุงเทพจะมีการร่วมกัน Coding ที่ บริษัท มาร์เวลิค เอ็นจิ้น จำกัด เริ่มกันตั้งแต่เวลา 13:00 น. ไปจนถึงเวลา 17:30 น.

ในประเทศไทยสำหรับการรวมตัวกันในการช่วยกัน Fixed Bug ให้กับ Joomla ผมคิดว่านี่เป็นครั้งแรก เพราะเท่าที่ผมทำ Joomla หรือจัดงาน Joomla มาก็ยังไม่เคยได้จัดงานในลักษณะนี้ โดยครั้งนี้เนื่องจากทีมงานส่วนใหญ่ที่บริษัทมาร์เวลิค ซึ่งเป็นบริษัทที่นำจูมล่ามาใช้งานและได้มีส่วนร่วม Contribute Code รวมถึงพัฒนาภาษาไทยให้กับ Joomla มาตั้งแต่ต้น  ว่างตรงกันพอดี จึงได้คิดว่าน่าจะมาร่วมกันทำพร้อมๆ กัน น่าจะสนุกดีไม่น้อย    โดยในงานนี้เปิดกว้างครับ สำหรับเพื่อนๆ ที่เป็น PHP Developer ที่อยากมีส่วนร่วมกันพัฒนาแก้ไข Code คืนกับให้กับ Joomla  ก็สามารถมาร่วมทำได้ครับ   หรือหากใครไม่สะดวกที่จะเดินทางเข้ามาร่วมกันทำแบบเจอหน้าตา แต่อยากร่วมกันทำ ก็สามารถสื่อสารกับผ่าน Skype ที่เราจะสร้างขึ้นสำหรับคุยกันในระหว่างที่ ทีม Joomla ทั่วโลกร่วมกันทำ PBF

สำหรับเพื่อนๆ ที่มีความสนใจต้องการจะมาร่วมกันทำ ทั้งการเข้ามาที่ บริษัท มาร์เวลิค เอ็นจิ้น จำกัด อาคาร KPN ชั้น 10 ถ.พระราม 9 หรือการจะออนไลน์  ก็สามารถ email มาที่ akarawuth [at] JoomlaCorner.com หรือจะโทรเข้ามาคุยกันก็ได้ครับที่เบอร์ 02 717 1120 - 1 ใครจะสนับสนุนอาหารการกินเครื่องดื่ม หรือปาร์ตี้หลังเลิก ก็ยินดีครับ :)

ข้อมูลเพิ่มเติม  : http://docs.joomla.org/Pizza_Bugs_and_Fun_March_16,_2013

SECUNIA ADVISORY ID:
SA52383

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/52383/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=52383

RELEASE DATE:
2013-03-01

DESCRIPTION:
A vulnerability with an unknown impact has been reported in the
Virtuemart 2 Multiple Customfields Filter module for Joomla!

The vulnerability is caused due to an unspecified error. No further
information is currently available.

The vulnerability is reported in versions prior to 1.6.8.

SOLUTION:
Update to version 1.6.8.

PROVIDED AND/OR DISCOVERED BY:
Reported by the vendor.

ORIGINAL ADVISORY:
http://myext.eu/en/update/49-v1-68
 

SECUNIA ADVISORY ID:
SA52043

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/52043/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=52043

RELEASE DATE:
2013-02-05
DESCRIPTION:
Multiple vulnerabilities have been reported in Joomla!, which can be
exploited by malicious people to disclose potentially sensitive
information.

1) An error related to the method of encoding search terms can be
exploited to disclose certain information.

This vulnerability is reported in the 2.5.x versions prior to 2.5.9
and in the 3.0.x versions prior to 3.0.3.

2) An error due to an undefined variable can be exploited to disclose
certain information.

3) Certain coding errors can be exploited to disclose certain
information.

The vulnerabilities #2 and #3 are reported in the 3.0.x versions
prior to 3.0.3.

SOLUTION:
Update to version 2.5.9 or 3.0.3.

PROVIDED AND/OR DISCOVERED BY:
The vendor credits:
1) Egidio Romano
2) Mark Dexter
3) Stergios Kolios

ORIGINAL ADVISORY:
http://www.joomla.org/announcements/release-news/5477-joomla-2-5-9-released.html
http://www.joomla.org/announcements/release-news/5478-joomla-3-0-3-released.html
http://developer.joomla.org/security/news/548-20130201-core-information-disclosure.html
http://developer.joomla.org/security/news/549-20130202-core-information-disclosure.html
http://developer.joomla.org/security/news/550-20130203-core-information-disclosure.html
 

ทีม Joomla! Project ได้ปล่อย Joomla! 3.0.3 ออกมาให้ได้ดาวน์โหลดกันอีกครั้งแล้ว รุ่นนี้ โดยรุ่นนี้แก้ไขปัญหาเรื่องความปลอดภัยครับ ซึ่งเป็นไปตามเป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลือชุมชน Joomla อย่างสม่ำเสมอ โดยท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่ เว็บไซต์นักพัฒนา ครับ