SECUNIA ADVISORY ID:
SA47728

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/47728/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=47728

RELEASE DATE:
2012-01-26
DESCRIPTION:
A vulnerability with unknown impact has been reported in the JE Story
Submit component for Joomla!.

The vulnerability is caused due to an unspecified error. No further
information is currently available.

The vulnerability is reported in versions prior to 1.9.

SOLUTION:
Update to version 1.9.

PROVIDED AND/OR DISCOVERED BY:
Reported by the vendor.

ORIGINAL ADVISORY:
http://joomlaextensions.co.in/product/JE-Story-Submit
 

SECUNIA ADVISORY ID:
SA47753

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/47753/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=47753

RELEASE DATE:
2012-01-25
DESCRIPTION:
Multiple vulnerabilities have been reported in Joomla!, which can be
exploited by malicious people to conduct cross-site scripting attacks
and disclose sensitive information.

1) Certain unspecified input is not properly verified before being
used. This can be exploited to disclose sensitive information.

2) Certain unspecified input is not properly sanitised before being
returned to the user. This can be exploited to execute arbitrary HTML
and script code in a user's browser session in context of an affected
site.

3) Certain unspecified input is not properly verified before being
used. This can be exploited to disclose sensitive information.

4) Certain unspecified input is not properly sanitised before being
returned to the user. This can be exploited to execute arbitrary HTML
and script code in a user's browser session in context of an affected
site.

The vulnerabilities are reported in versions 1.7.3 and prior.

SOLUTION:
Update to version 1.7.4 or upgrade to version 2.5.0.

PROVIDED AND/OR DISCOVERED BY:
The vendor credits:
1) Cyrille Barthelemy.
2) Ankita Kapadia.
3) Jean-Marie Simonet.
4) David Jardin.

ORIGINAL ADVISORY:
Joomla 1.7.4:
http://www.joomla.org/announcements/release-news/5405-joomla-174-released.html

Joomla 2.5.0:
http://www.joomla.org/announcements/release-news/5403-joomla-250-released.html

Vulnerabilities:
http://developer.joomla.org/security/news/382-20120101-core-information-disclosure
http://developer.joomla.org/security/news/383-20120102-core-xss-vulnerability
http://developer.joomla.org/security/news/384-20120103-core-information-disclosure
http://developer.joomla.org/security/news/385-20120104-core-xss-vulnerability
 

Joomla ซึ่งเป็นหนึ่งในโอเพ่นซอร์ส ระบบการจัดการเนื้อหา (CMS) ที่นิยมมากที่สุดของโลก ที่ใช้สำหรับทำเว็บหลายๆ แบบ ตั้งแต่เว็บไซต์ ไปยังบล็อก ไปจนถึงอินทราเน็ต ในวันนี้ได้มีการประกาศเวอร์ชันของ Joomla 2.5 พร้อมด้วยคุณสมบัติใหม่ ๆ เช่น การค้นหาแบบขั้นสูงและการแจ้งเตือนโดยอัตโนมัติจากเว็บ Joomla หลัก และการปรับปรุงส่วนขยายของ Joomla CMS เป็นครั้งแรกที่รวมถึงการสนับสนุนหลายฐานข้อมูลที่มีการเพิ่มมาจาก Microsoft SQL Server ซึ่งรุ่นก่อนหน้านี้ของ Joomla สามารถเข้ากันได้เฉพาะกับฐานข้อมูล MySQL

ทีม Joomla! Project ได้ปล่อย Joomla 2.5.0 ออกมาให้ได้ใช้งานเป็นการเร่งด่วน ซึ่งมีการแก้ไขเกี่ยวกับเรื่องความปลอดภัยจากเวอร์ชันที่ถูกปล่อยออกมาก่อนหน้านี้ โดยเวอร์ชัน 2.5.0 นี้ เป็นเวอร์ชันปรับปรุงมาจากเวอร์ชัน 1.7 (หมายเหตุ เราได้ข้ามจากเวอร์ชัน 1.7.x มาเป็น 2.5.x. )

เวอร์ชั่น 2.5.0 เป็นรุ่นที่สอง ที่ถูกทำใหม่ภายในรอบหกเดือนที่เริ่มต้นจากการเผยแพร่ Joomla 1.6 ออกมาในเดือนมกราคม 2011 เวอร์ชัน 2.5 นี้ยังมีระยะเวลาในการสนับสนุนแบบยาวนาน (LTS) โดยรุ่นนี้จะได้รับการสนับสนุนอย่างน้อย 18 เดือน

เป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลือต่อไปอย่างสม่ำเสมอ เพื่อชุมชน Joomla. ท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่เว็บไซต์นักพัฒนา.

เวอร์ชั่น 1.7 จะมีระยะเวลาของการให้บริการจนถึงวันที่ 24 กุมภาพันธ์ 2555 ผู้ใช้ทุกท่านที่ยังใช้เวอร์ชัน 1.7 อยู่ ควรจะรีบปรับปรุงเป็นเวอร์ชัน 2.5.0 ก่อนในเวลานี้ ซึ่งขั้นตอนการปรับปรุงนั้นง่ายมาก และคำแนะนำที่สมบูรณ์มีอยู่ที่นี่ โปรดทราบว่าตอนนี้มีวิธีการที่ง่ายและดีกว่าการปรับปรุง FTPing ไฟล์

ทีม Joomla! Project ได้ปล่อย Joomla 1.7.4 ออกมาให้ได้ใช้งานเป็นการเร่งด่วน ซึ่งมีการแก้ไขเกี่ยวกับเรื่องความปลอดภัย

โปรดทราบว่า ผู้ใช้ส่วนใหญ่ควรจะปรับปรุงเว็บไซต์ของตนเอง เพื่อให้เป็นเวอร์ชัน 2.5.0 แทนของเดิม ซึ่งถูกปล่อยออกมาแล้วในขณะนี้ เวอร์ชัน 1.7.4 มีไว้สำหรับผู้ใช้ที่มีเหตุผลบางอย่าง ที่ไม่สามารถที่จะปรับปรุงให้เป็นเวอร์ชัน 2.5.0 ได้ ส่วนเวอร์ชั่น 1.7 จะมีระยะเวลาของการให้บริการจนถึงวันที่ 24 กุมภาพันธ์ 2555

เป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลือต่อไปอย่างสม่ำเสมอ เพื่อชุมชน Joomla. ท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่เว็บไซต์นักพัฒนา.

ถ้าคุณกำลังต้องการที่จะอัพเกรดเว็บไซต์ของคุณ ที่ใช้เวอร์ชัน 1.7 อยู่ คุณควรจะทราบถึงวิธีการของการอัพเกรด ที่มีการเปลี่ยนแปลงตั้งแต่ Joomla 1.5 มา ดังนั้นเราจึงขอแนะนำให้คุณดูในหัวข้อ คำแนะนำ ด้านล่างนี้

SECUNIA ADVISORY ID:
SA47561

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/47561/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=47561

RELEASE DATE:
2012-01-17
DESCRIPTION:
A vulnerability has been discovered in the Discussions component for
Joomla!, which can be exploited by malicious people to conduct SQL
injection attacks.

Input passed via the "catid" parameter to index.php (when "option" is
set to "com_discussions" and "view" is set to "thread") is not
properly sanitised before being used in a SQL query. This can be
exploited to manipulate SQL queries by injecting arbitrary SQL code.

The vulnerability is confirmed in version 1.4. Other versions may
also be affected.

SOLUTION:
Edit the source code to ensure that input is properly sanitised.

PROVIDED AND/OR DISCOVERED BY:
Red Security TEAM

ORIGINAL ADVISORY:
http://www.exploit-db.com/exploits/18380/