SECUNIA ADVISORY ID:
SA44692

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/44692/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=44692

RELEASE DATE:
2011-05-25

DESCRIPTION:
Multiple vulnerabilities have been discovered in the Map Locator
component for Joomla, which can be exploited by malicious people to
conduct SQL injection attacks.

Input passed via the "cid" parameter to index.php (when "option" is
set to "com_maplocator" and "view" is set to "city", "country",
"sites", or "state") is not properly sanitised in
components/com_maplocator/models/city.php,
components/com_maplocator/models/country.php,
components/com_maplocator/models/sites.php, and
components/com_maplocator/models/state.php before being used in SQL
queries. This can be exploited to manipulate SQL queries by injecting
arbitrary SQL code.

The vulnerabilities are confirmed in version 1.0. Other versions may
also be affected.

SOLUTION:
Edit the source code to ensure that input is properly sanitised.

PROVIDED AND/OR DISCOVERED BY:
Fl0riX
 

SECUNIA ADVISORY ID:
SA44607

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/44607/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=44607

RELEASE DATE:
2011-05-19

DESCRIPTION:
A vulnerability has been discovered the jDownloads component for
Joomla!, which can be exploited by malicious users to compromise a
vulnerable system.

The application improperly validates uploaded files, which can be
exploited to execute arbitrary PHP code by uploading a PHP file with
e.g. an appended ".gif" file extension.

Successful exploitation requires "Manager" permissions in the backend
and that Apache is not configured to handle the mime-type for media
files with e.g. a ".jpg" or ".gif" extension.

The vulnerability is confirmed in version 1.8.1. Other versions may
also be affected.

SOLUTION:
Restrict access to the jdownloads directory (e.g. via .htaccess).

PROVIDED AND/OR DISCOVERED BY:
Al-Ghamdi
 

SECUNIA ADVISORY ID:
SA44605

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/44605/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=44605

RELEASE DATE:
2011-05-18

DESCRIPTION:
A vulnerability has been reported in the DOCman component for
Joomla!, which can be exploited by malicious people to conduct SQL
injection attacks.

Certain unspecified input passed to the "search" functionality is not
properly sanitised before being used in SQL queries. This can be
exploited to manipulate SQL queries by injecting arbitrary SQL code.

The vulnerability is reported in versions prior to 1.4.2 and 1.5.10.

SOLUTION:
Update to version 1.4.2 or 1.5.10.

PROVIDED AND/OR DISCOVERED BY:
Reported by the vendor.

ORIGINAL ADVISORY:
DOCman:
http://blog.joomlatools.eu/2011/01/docman-1510-and-142-released.html
http://www.joomlatools.eu/products/docman/changelog.html
 

ส่วนประกอบเสริมประจำเดือนนี้ครับ ไม่ได้ทำส่วนเสริมแจกนานแล้ว ส่วนเสริมตัวนี้เป็นตัวแรกของปีนี้เลยก็ว่าได้ หลังจากงาน JoomlaDay Bangkok 2010 เราก็ไม่ได้แจกอะไรเพิ่มอีกเลย คิดว่าเพื่อนสมาชิกคงอยากได้อะไรเล็กๆ น้อยๆ ไปติดเว็บกันบ้าง ทางทีมงานเลยจัดให้เล็กน้อยครับ ก่อนหน้านี้ เราเคยแจกโมดูลคล้ายๆ ตัวนี้ นั่นก็คือ PTT Oil Price เอาไว้แสดงผลราคาน้ำมันประจำวันจาก ปตท.

ส่วนตัวนี้ก็คือ Bangchak Oil Price ซึ่งเราได้นำมาจากเว็บแสดงราคาน้ำมันขายปลีกของบางจากฯ โดยโมดูลตัวนี้ จะทำหน้าที่แสดงผลราคาน้ำมันประจำวันจาก บางจาก ครับ.

หมายเหตุ ทำหน้าที่แสดงผลโดยจะทำงานโดยการดึงข้อมูลมาจากเว็บบางจากฯ หากเครื่องไม่ได้ต่อเน็ต จะแสดงผลไม่ได้นะครับ.

SECUNIA ADVISORY ID:
SA44217

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/44217/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=44217

RELEASE DATE:
2011-04-19

DESCRIPTION:
A weakness and a vulnerability have been reported in the Akeeba
Backup component for Joomla!, which can be exploited by malicious
people to disclose certain system information and cause a DoS (Denial
of Service).

1) An unspecified error can be exploited to disclose the folder
structure of a vulnerable system. No further information is currently
available.

2) An unspecified error can be exploited to exhaust disk space of a
vulnerable system and cause a crash. No further information is
currently available.

The vulnerabilities are reported in versions prior to 3.2.7.

SOLUTION:
Update to version 3.2.7.

PROVIDED AND/OR DISCOVERED BY:
The vendor credits Jeff Channel.

ORIGINAL ADVISORY:
Akeeba Backup Release Note:
https://www.akeebabackup.com/home/item/1091-akeeba-backup-3-2-7.html
 

Joomla! Project ได้ประกาศออก Joomla 1.6.3 [Onward] เป็นการเร่งด่วน. โดยในเวอร์ชั่นนี้ไม่ได้เป็นการแก้ไขเรื่องความปลอดภัย โดยในรุ่นที่สามนี้ ได้ทำการแก้ไขปัญหาที่เกิดขึ้นกับรุ่น 1.6.2 เท่านั้น

เป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลือต่อไปอย่างสม่ำเสมอ เพื่อชุมชน Joomla. ท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่เว็บไซต์นักพัฒนา.