ด่วน!

ท่านที่ใช้งาน Joomla 1.5.x  อยู่ในขณะนี้ ทีมจูมล่า ได้ทำการ ออกเวอร์ชั่น 1.5.26 ซึ่งทำการแก้ไข ช่องโหว่ สำคัญ 2 จุดด้วยกัน

ให้ท่านทำการอับเดดเป็นเวอร์ชั่น 1.5.26  โดยด่วน

Security

• High Priority - Core - Password Change Vulnerability. More information
• Low Priority - Core - Information Disclosure. More information

Download

คลิกเพื่อ ดาวน์โหลด Joomla 1.5.26 (Full package)

คลิกเพื่อ ดาวน์โหลด Joomla 1.5.26 (Upgrade packages)

ข้อมูลเพิ่มเติม http://www.joomla.org/announcements/release-news/5419-joomla-1526-released.html

SECUNIA ADVISORY ID:
SA48445

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/48445/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=48445

RELEASE DATE:
2012-03-16
DESCRIPTION:
A security issue and a vulnerability have been reported in Joomla!,
which can be exploited by malicious people to bypass certain security
restrictions.

1) Input passed via the "jform[groups]" parameter to index.php when
registering a new user is not properly verified before storing in the
session variable. This can be exploited to register a new user with
administrator privileges.

2) The security issue is caused due to the password generation
algorithm generating predictable passwords, which can be exploited to
guess a generated password when e.g. a password reset for a user is
triggered.

The security issue and vulnerability are reported in versions 2.5.0
through 2.5.2.

SOLUTION:
Update to version 2.5.3.

PROVIDED AND/OR DISCOVERED BY:
1) Jeff Channel.
2) The vendor credits George Argyros and Aggelos Kiayias.

ORIGINAL ADVISORY:
http://www.joomla.org/announcements/release-news/5416-joomla-253-released.html
http://jeffchannell.com/Joomla/joomla-161725-privilege-escalation-vulnerability.html
 

แจ้งถึงท่านที่ใช้งาน Joomla เวอร์ชั่น  1.7.x อยู่ขณะนี้   ให้ท่านทำการ Update เป็นเวอร์ชั่น 2.5.3 โดยด่วน เนื่องจากมีการตรวจพบ ช่องโหว่ ในเวอร์ชั่นก่อนหน้านี้ และขณะนี้ทีมพัฒนาจูมล่าได้ ทำการแก้ไขและออกเวอร์ชั่น 2.5.3 มาแก้ไขปัญหาดังกล่าว เรียบร้อยแล้ว

ดังนั้นจึงแจ้งให้ทุกท่านที่ใช้งาน Joomla 1.7.x ขึ้นไปรีบอับเดดครับ  ท่านที่ใช้งาน Joomla 2.5.x อยู่ สามารถทำการอับเดดได้ง่ายๆ โดยการคลิกที่ ไอคอน อับเดดเวอร์ชั่น จาก Dashboard ของ Admin ได้เลยครับ

ข้อมูลเพิ่มเติม : http://www.joomla.org/announcements/release-news/5416-joomla-253-released.html

SECUNIA ADVISORY ID:
SA48005

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/48005/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=48005

RELEASE DATE:
2012-03-07
DESCRIPTION:
Two vulnerabilities have been reported in Joomla!, which can be
exploited by malicious people to conduct cross-site scripting and SQL
injection attacks.

1) Certain input passed to the Highlight plugin is not properly
sanitised before being returned to the user. This can be exploited to
execute arbitrary HTML and script code in a user's browser session in
context of an affected site.

2) Certain input passed to the Redirect plugin is not properly
sanitised before being used in a SQL query. This can be exploited to
manipulate SQL queries by injecting arbitrary SQL code.

The vulnerabilities are reported in versions 2.5.0 and 2.5.1. Prior
versions may also be affected.

SOLUTION:
Update to version 2.5.2.

PROVIDED AND/OR DISCOVERED BY:
1) The vendor credits Phil Purviance
2) The vendor credits Colin Wong

ORIGINAL ADVISORY:
Joomla:
http://developer.joomla.org/security/news/392-20120302-core-xss-vulnerability.html
http://developer.joomla.org/security/news/391-20120301-core-sql-injection.html
 

ทีม Joomla! Project ได้ปล่อย Joomla 2.5.2 ออกมาให้ได้ใช้งานเป็นการเร่งด่วน ซึ่งมีการแก้ไขเกี่ยวกับเรื่องความปลอดภัยจากเวอร์ชันที่ถูกปล่อยออกมาก่อนหน้านี้ เป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลือต่อไปอย่างสม่ำเสมอ เพื่อชุมชน Joomla. ท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่เว็บไซต์นักพัฒนา.

ขั้นตอนการปรับปรุงนั้นง่ายมาก และคำแนะนำที่สมบูรณ์มีอยู่ที่นี่ โปรดทราบว่าตอนนี้มีวิธีการที่ง่ายและดีกว่าการปรับปรุง FTPing ไฟล์

SECUNIA ADVISORY ID:
SA48064

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/48064/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=48064

RELEASE DATE:
2012-02-23

DESCRIPTION:
the_cyber_nuxbie has reported a vulnerability in the DT Register
component for Joomla!, which can be exploited by malicious people to
conduct SQL injection attacks.

Input passed via the "list1" parameter to index.php (when "option" is
set to "com_dtregister" and "task" is set to "category") is not
properly sanitised before being used in SQL queries. This can be
exploited to manipulate SQL queries by injecting arbitrary SQL code.

The vulnerability is reported in version 2.7.13a. Other versions may
also be affected.

SOLUTION:
Filter malicious characters and character sequences using a proxy.

PROVIDED AND/OR DISCOVERED BY:
the_cyber_nuxbie.

ORIGINAL ADVISORY:
http://www.thecybernuxbie.com/archives-exploits/joomla-component-com_dtregister-categorylist1-sqlinjection-vulnerability.aspx