ทีม Joomla! Project ได้ปล่อย Joomla 1.7.4 ออกมาให้ได้ใช้งานเป็นการเร่งด่วน ซึ่งมีการแก้ไขเกี่ยวกับเรื่องความปลอดภัย

โปรดทราบว่า ผู้ใช้ส่วนใหญ่ควรจะปรับปรุงเว็บไซต์ของตนเอง เพื่อให้เป็นเวอร์ชัน 2.5.0 แทนของเดิม ซึ่งถูกปล่อยออกมาแล้วในขณะนี้ เวอร์ชัน 1.7.4 มีไว้สำหรับผู้ใช้ที่มีเหตุผลบางอย่าง ที่ไม่สามารถที่จะปรับปรุงให้เป็นเวอร์ชัน 2.5.0 ได้ ส่วนเวอร์ชั่น 1.7 จะมีระยะเวลาของการให้บริการจนถึงวันที่ 24 กุมภาพันธ์ 2555

เป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลือต่อไปอย่างสม่ำเสมอ เพื่อชุมชน Joomla. ท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่เว็บไซต์นักพัฒนา.

ถ้าคุณกำลังต้องการที่จะอัพเกรดเว็บไซต์ของคุณ ที่ใช้เวอร์ชัน 1.7 อยู่ คุณควรจะทราบถึงวิธีการของการอัพเกรด ที่มีการเปลี่ยนแปลงตั้งแต่ Joomla 1.5 มา ดังนั้นเราจึงขอแนะนำให้คุณดูในหัวข้อ คำแนะนำ ด้านล่างนี้

SECUNIA ADVISORY ID:
SA47561

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/47561/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=47561

RELEASE DATE:
2012-01-17
DESCRIPTION:
A vulnerability has been discovered in the Discussions component for
Joomla!, which can be exploited by malicious people to conduct SQL
injection attacks.

Input passed via the "catid" parameter to index.php (when "option" is
set to "com_discussions" and "view" is set to "thread") is not
properly sanitised before being used in a SQL query. This can be
exploited to manipulate SQL queries by injecting arbitrary SQL code.

The vulnerability is confirmed in version 1.4. Other versions may
also be affected.

SOLUTION:
Edit the source code to ensure that input is properly sanitised.

PROVIDED AND/OR DISCOVERED BY:
Red Security TEAM

ORIGINAL ADVISORY:
http://www.exploit-db.com/exploits/18380/
 

SECUNIA ADVISORY ID:
SA47546

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/47546/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=47546

RELEASE DATE:
2012-01-13
DESCRIPTION:
A vulnerability has been discovered in the HD Video Share component
for Joomla!, which can be exploited by malicious people to conduct
SQL injection attacks.

Input passed via the "id" parameter to index.php (when "option" is
set to "com_contushdvideoshare" and "view" is set to "player") is not
properly sanitised before being used in a SQL query. This can be
exploited to manipulate SQL queries by injecting arbitrary SQL code.

The vulnerability is confirmed in version 1.3. Other versions may
also be affected.

SOLUTION:
Edit the source code to ensure that input is properly sanitised.

PROVIDED AND/OR DISCOVERED BY:
Lazmania61

ORIGINAL ADVISORY:
Lazmania61:
http://packetstormsecurity.org/files/108623/joomlacdvs-sql.txt
 

SECUNIA ADVISORY ID:
SA47370

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/47370/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=47370

RELEASE DATE:
2012-01-04
DESCRIPTION:
A vulnerability has been discovered in the Simple File Upload module
for Joomla!, which can be exploited by malicious people to compromise
a vulnerable system.

The vulnerability is caused due to the
modules/mod_simplefileuploadv1.3/helper.php script not properly
validating uploaded files, which can be exploited to execute
arbitrary PHP code by uploading a PHP file with e.g. a ".pht" file
extension.

The vulnerability is confirmed in version 1.3.5. Other versions may
also be affected.

SOLUTION:
Restrict access to the upload folder (e.g. via .htaccess).

PROVIDED AND/OR DISCOVERED BY:
Reported by the Joomla! VEL team.

ORIGINAL ADVISORY:
Simple File Upload:
http://wasen.net/index.php?option=com_content&view=article&id=64:simple-file-upload-download&catid=40:project-simple-file-upload&Itemid=59

Joomla!:
http://docs.joomla.org/Vulnerable_Extensions_List#Simple_File_Upload_1.3
 

SECUNIA ADVISORY ID:
SA47436

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/47436/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=47436

RELEASE DATE:
2012-01-02
DESCRIPTION:
A vulnerability has been reported in the JE Poll component for
Joomla!, which can be exploited by malicious people to conduct SQL
injection attacks.

Certain unspecified input is not properly sanitised before being used
in a SQL query. This can be exploited to manipulate SQL queries by
injecting arbitrary SQL code.

The vulnerability is reported in versions prior to 1.1.

SOLUTION:
Update to version 1.1.

PROVIDED AND/OR DISCOVERED BY:
Reported by the vendor.

ORIGINAL ADVISORY:
JExtensions:
http://joomlaextensions.co.in/product/JE-Poll
 

ทีมจูมล่า ได้ออก Joomla เวอร์ชั่น 2.5.0 Beta1 ออกมา ให้เหล่านักพัฒนาได้ทำการทดสอบกับ Extensions /Template ของตนเอง เพื่อเตรียมตัวสำหรับการออกเวอร์ชั่น 2.5.0 ในเดือนมกราคมนี้  โดยจูมล่า เวอร์ชั่น 2.5.0 นี้ จะเป็น LTS (Long Term Support) ที่จะมาแทน จูมล่า 1.5.x ที่จะหยุดการ Support ในเดือน เมษายน 2555 และ Joomla 1.7 ก็จะหยุดให้การ support ในวันที่ 10 กุมภาพันธ์ 2555 ด้วยเช่นกัน นั่นหมายความว่าทีมพัฒนาก็จะมา Focus และพัฒนากันบนเวอร์ชั่น 2.5 ขึ้นไปเท่านั้น

หลายท่านๆ ที่ใช้งานเว็บไซต์ Joomla อยู่ในปัจจุบัน ก็คงต้องเริ่มวางแผนในการอับเกรดไปเป็น Joomla 2.5 ในอีก 1 ปีข้างหน้า เนื่องจากถ้าเราดูย้อนหลังกลับไปก็จะเห็นว่า Joomla 1.0.x ก็ไม่มีนักพัฒนาทำอะไรออกมารองรับแล้ว เนื่องจากทีม Joomla เองก็ประกาศหยุดการพัฒนาไป เมื่อมีการออก Joomla 1.5 เป็น LTS  เท่ากับว่าเมื่อ Joomla 2.5.0 เป็น LTS ตัวเสริมต่างๆ ที่ทำมาสำหรับ 1.5 ก็จะค่อยๆ ลดน้อยลงไป หรือไม่มีของใหม่ๆ เกิดขึ้นอีกต่อไปครับ ดังนั้นก็คงต้องเตรียมตัว เรียนรู้ และวางแผน รวมถึงงบประมาณ ในการอัพเกรดเว็บไซต์  แต่คงไม่ถึงขนาดที่จะต้องเปลี่ยนในทันทีครับสำหรับเว็บไซต์เดิม แต่ถ้าเป็นเว็บที่จะทำขึ้นใหม่เขาก็แนะนำว่าให้เริ่มที่ 2.5.0 ครับ