SECUNIA ADVISORY ID:
SA48683

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/48683/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=48683

RELEASE DATE:
2012-04-03
DESCRIPTION:
A security issue and a vulnerability have been reported in Joomla!,
which can be exploited by malicious people to disclose potentially
sensitive information and conduct cross-site scripting attacks.

1) An error related to insufficient permission checking can be
exploited to disclose certain information from the administration
backend.

2) Certain input passed via the update manager is not properly
sanitised before being returned to the user. This can be exploited to
execute arbitrary HTML and script code in a user's browser session in
context of an affected site.

The security issue and vulnerability are reported in versions prior
to 2.5.4.

SOLUTION:
Update to version 2.5.4.

PROVIDED AND/OR DISCOVERED BY:
The vendor credits:
1) Cyrille Barthelemy.
2) Alex Andreae.

ORIGINAL ADVISORY:
http://www.joomla.org/announcements/release-news/5418-joomla-254-released.html
http://developer.joomla.org/security/news/399-20120308-core-xss-vulnerability
http://developer.joomla.org/security/news/9-security/10-core-security/397-20120306-core-information-disclosure
 

ขณะนี้ ทีมพัฒนา Joomla ได้ออก Joomla 2.5.4 มาเรียบร้อยแล้ว ซึ่งทีม Joomla Bug Squad ได้ทำการแก้ไข Bug ที่พบไปจำนวนมาก  สามารถดูรายละเอียดการแก้ไขข้อผิดพลาดได้ที่  http://www.joomla.org/announcements/release-news/5418-joomla-254-released.html

ในเวอร์ชั่น 2.5.4 นี้ เป็นการออกตามรอบการพัฒนา ไม่ใช่ Security released เหมือนเวอร์ชั่นที่แล้ว  แต่ก็แนะนำให้ทุกท่านที่ใช้งาน Joomla 1.6.x  อยู่ ให้ทำการอับเดดเป็นเวอร์ชั่นนี้นี้ เนื่องจากเวอร์ชั่นก่อนหน้านี้นั่น มีช่องโหว่ ทำให้เว็บของท่านไม่ปลอดภัย   การอับเดดก็ทำได้ง่ายๆ เพียงแค่คลิกที่ icon อับเดด ระบบก็จะทำการดาวน์โหลดและติดตั้งเวอร์ชั่นล่าสุดให้ในทันที

ดาวน์โหลด

New Installations: Click here to download Joomla 2.5.4 (Full package) »

Update Package: Click here to download Joomla 2.5.4 (Update package) »

สำหรับท่านที่สนใจจะใช้บริการของทางบริษัท มาร์เวลิค เอ็นจิ้น ในการดูแลอับเดด Patch ให้กับเว็บไซต์ของท่าน สามารถติดต่อสอบถามค่าบริการได้ที่ This email address is being protected from spambots. You need JavaScript enabled to view it. ครับ

SECUNIA ADVISORY ID:
SA48584

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/48584/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=48584

RELEASE DATE:
2012-03-28
DESCRIPTION:
Two security issues have been reported in Joomla!, which can be
exploited by malicious people to disclose potentially sensitive
information and bypass certain security restrictions.

1) An error due to the password generation algorithm generating
predictable passwords can be exploited to guess a generated password
when e.g. a password reset for a user is triggered.

2) An error related to insufficient permission checking can be
exploited to disclose certain information from the administration
backend.

The security issues are reported in versions 1.5.x prior to 1.5.26.

SOLUTION:
Update to version 1.5.26.

PROVIDED AND/OR DISCOVERED BY:
The vendor credits:
1) George Argyros and Aggelos Kiayias
2) Cyrille Barthelemy

ORIGINAL ADVISORY:
http://www.joomla.org/announcements/release-news/5419-joomla-1526-released.html
http://developer.joomla.org/security/news/9-security/10-core-security/396-20120305-core-password-change
http://developer.joomla.org/security/news/9-security/10-core-security/397-20120306-core-information-disclosure
 

ด่วน!

ท่านที่ใช้งาน Joomla 1.5.x  อยู่ในขณะนี้ ทีมจูมล่า ได้ทำการ ออกเวอร์ชั่น 1.5.26 ซึ่งทำการแก้ไข ช่องโหว่ สำคัญ 2 จุดด้วยกัน

ให้ท่านทำการอับเดดเป็นเวอร์ชั่น 1.5.26  โดยด่วน

Security

• High Priority - Core - Password Change Vulnerability. More information
• Low Priority - Core - Information Disclosure. More information

Download

คลิกเพื่อ ดาวน์โหลด Joomla 1.5.26 (Full package)

คลิกเพื่อ ดาวน์โหลด Joomla 1.5.26 (Upgrade packages)

ข้อมูลเพิ่มเติม http://www.joomla.org/announcements/release-news/5419-joomla-1526-released.html

SECUNIA ADVISORY ID:
SA48445

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/48445/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=48445

RELEASE DATE:
2012-03-16
DESCRIPTION:
A security issue and a vulnerability have been reported in Joomla!,
which can be exploited by malicious people to bypass certain security
restrictions.

1) Input passed via the "jform[groups]" parameter to index.php when
registering a new user is not properly verified before storing in the
session variable. This can be exploited to register a new user with
administrator privileges.

2) The security issue is caused due to the password generation
algorithm generating predictable passwords, which can be exploited to
guess a generated password when e.g. a password reset for a user is
triggered.

The security issue and vulnerability are reported in versions 2.5.0
through 2.5.2.

SOLUTION:
Update to version 2.5.3.

PROVIDED AND/OR DISCOVERED BY:
1) Jeff Channel.
2) The vendor credits George Argyros and Aggelos Kiayias.

ORIGINAL ADVISORY:
http://www.joomla.org/announcements/release-news/5416-joomla-253-released.html
http://jeffchannell.com/Joomla/joomla-161725-privilege-escalation-vulnerability.html
 

แจ้งถึงท่านที่ใช้งาน Joomla เวอร์ชั่น  1.7.x อยู่ขณะนี้   ให้ท่านทำการ Update เป็นเวอร์ชั่น 2.5.3 โดยด่วน เนื่องจากมีการตรวจพบ ช่องโหว่ ในเวอร์ชั่นก่อนหน้านี้ และขณะนี้ทีมพัฒนาจูมล่าได้ ทำการแก้ไขและออกเวอร์ชั่น 2.5.3 มาแก้ไขปัญหาดังกล่าว เรียบร้อยแล้ว

ดังนั้นจึงแจ้งให้ทุกท่านที่ใช้งาน Joomla 1.7.x ขึ้นไปรีบอับเดดครับ  ท่านที่ใช้งาน Joomla 2.5.x อยู่ สามารถทำการอับเดดได้ง่ายๆ โดยการคลิกที่ ไอคอน อับเดดเวอร์ชั่น จาก Dashboard ของ Admin ได้เลยครับ

ข้อมูลเพิ่มเติม : http://www.joomla.org/announcements/release-news/5416-joomla-253-released.html