SECUNIA ADVISORY ID:
SA50841

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/50841/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=50841

RELEASE DATE:
2012-10-04
DESCRIPTION:
A vulnerability has been reported in the MijoFTP component for
Joomla!, which can be exploited by malicious people to compromise a
vulnerable system.

The vulnerability is caused due to an unspecified error. No further
information is currently available.

The vulnerability is reported in versions prior to 1.1.0.

SOLUTION:
Update to version 1.1.0.

PROVIDED AND/OR DISCOVERED BY:
Reported by the vendor

ORIGINAL ADVISORY:
MijoFTP:
http://www.mijosoft.com/blog/mijoftp-11-released
 

ทีม Joomla! Project ได้ปล่อย Joomla! 3.0.0 ออกมาให้ได้ดาวน์โหลดกันแล้ว รุ่นนี้ เป็นรุ่นรองของรุ่นถัดไปของ Joomla CMS ซึ่งรุ่นนี้ เป็นรุ่นที่จะได้รับการสนับสนุนตามมาตรฐานปกติ Standard Term Support (STS) หรือจะเรียกกันตามประสาชาวบ้านอย่างเราๆ ก็คือ รุ่นใช้งานจริง แบบเก็บบั๊ก เพื่อเอาไปออกในรุ่นหลัก คือ 3.5 โดยการใช้งานจูมล่า 3.0 ผู้ใช้จะต้องวางแผนที่จะปรับปรุงให้เป็นรุ่นใหม่ที่จะออกในรอบของ STS คือ ทุกหกเดือน หรืออีก 6 เดือนถัดไป ก็จะมีจูมล่า 3.1 STS ออกมาอีก และก็ออกมาแค่ 6 เดือนเหมือนกัน ถึงจะออกเป็นรุ่น 3.5 อีกทีแบบใช้งานกันยาวๆ ประมาณเดือน เมษายนปีหน้าครับ ซึ่งคิดว่า การปรับปรุงไปใช้รุ่นนั้นจะทำได้ง่าย และรองรับการย้อนกลับของเวอร์ชันได้ด้วย

ปล. ภายในตุลาคมนี้ ก็จะออกรุ่นแก้บั๊ก แล้วนะครับ

ทีม Joomla! Project ได้ปล่อย Joomla 2.5.7 ออกมาให้ได้ใช้งานกันอีกแล้ว โดยรุ่นนี้แก้ไขปัญหาเรื่องความปลอดภัยครับ ซึ่งเป็นไปตามเป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลืออย่างสม่ำเสมอ เพื่อชุมชน Joomla. โดยท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่เว็บไซต์นักพัฒนา.

ส่วนขั้นตอนการปรับปรุงนั้นง่ายมาก และคำแนะนำที่สมบูรณ์มีอยู่ที่นี่ โปรดทราบว่าตอนนี้มีวิธีการที่ง่ายและดีกว่าการปรับปรุงด้วยวิธี FTP ไฟล์ไปทับ

ทีม Joomla! Project ได้ปล่อย Joomla! CMS 3 Beta1 ออกมาให้ได้ดาวน์โหลดไปทดสอบกันอีกแล้ว โดยมีสมาชิกในชุมชนจูมล่า ได้ถามถึงการออกรุ่นจริงของจูมล่า 3.0 ที่วางแผนไว้ ว่าจะปล่อยให้ดาวน์โหลดแพคเกจติดตั้งได้ในวันที่ 27 กันยายน 2012 นี้.

ซึ่ง Joomla 3 จะเป็นรุ่นหลัก รุ่นต่อไปของ Joomla CMS, โดย Joomla 3.0 นั้น จะเป็นรุ่นที่ถูกสนับสนุนในระยะเวลาสั้นๆ ในวงจรของการพัฒนา และตอบคำถามในการใช้งานของชุมชนที่ดาวน์โหลดไปใช้ หลังจากที่ได้มีการปล่อยรุ่นเบต้าที่ผ่านมา และรุ่นอัลฟาในครั้งแรก

รุ่นนี้ถูกปล่อยมาเพื่อ?

เวอร์ชั่นนี้ ออกมาเพื่อให้ทำการทดสอบเท่านั้น ไม่แนะนำให้ใช้กับเว็บไซต์ที่ใช้งานจริง

นักพัฒนาส่วนเสริมของจูมล่า จะได้ทำการทดสอบส่วนเสริมของตัวเอง ให้ทำงานร่วมกันกับ Joomla 3.0 ได้อย่างสมบูรณ์ หากผู้พัฒนาค้นพบข้อผิดพลาด หรือปัญหาที่เกิดจากการทำงานของตัวจูมล่า สามารถรายงานปัญหาที่พบใน Joomla! ได้ที่ ระบบติดตามปัญหา

คลิกเพื่อดาวน์โหลด จูมล่า 3.0 เบต้า1

SECUNIA ADVISORY ID:
SA50499

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/50499/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=50499

RELEASE DATE:
2012-09-03
DESCRIPTION:
A vulnerability has been discovered in the iCagenda component for
Joomla!, which can be exploited by malicious people to conduct SQL
injection attacks.

Input passed via the "id" parameter to index.php (when "option" is
set to "com_icagenda", "view" is set to "list", and "layout" is set
to "event") is not properly sanitised before being used in a SQL
query. This can be exploited to manipulate SQL queries by injecting
arbitrary SQL code.

The vulnerability is confirmed in version 1.1.4. Other versions may
also be affected.

SOLUTION:
No official solution is currently available.

PROVIDED AND/OR DISCOVERED BY:
Dark-Puzzle (Souhail Hammou)

ORIGINAL ADVISORY:
http://packetstormsecurity.org/files/116151/Joomla-ICAgenda-SQL-Injection-Path-Disclosure.html
 

SECUNIA ADVISORY ID:
SA50457

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/50457/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=50457

RELEASE DATE:
2012-08-30

DESCRIPTION:
A vulnerability has been discovered in the Spider Calendar Lite
component for Joomla!, which can be exploited by malicious people to
conduct SQL injection attacks.

Input passed via the "date" parameter to index.php (when "option" is
set to "com_spidercalendar") is not properly sanitised before being
used in a SQL query. This can be exploited to manipulate SQL queries
by injecting arbitrary SQL code.

The vulnerability is confirmed in version 1.4. Other versions may
also be affected.

SOLUTION:
No official solution is currently available.

PROVIDED AND/OR DISCOVERED BY:
Daniel Barragan "D4NB4R"

ORIGINAL ADVISORY:
http://packetstormsecurity.org/files/116051/Joomla-Spider-Calendar-Lite-SQL-Injection.html