SECUNIA ADVISORY ID:
SA35370

VERIFY ADVISORY:
http://secunia.com/advisories/35370/

DESCRIPTION:
A vulnerability has been reported in the MooFAQ component for
Joomla!, which can be exploited by malicious people to disclose
potentially sensitive information.

Input passed to the "file" parameter in
com_moofaq/includes/file_includer.php is not properly verified before
being used to display files, which can be exploited to disclose the
content of arbitrary files.

SOLUTION:
Edit the source code to ensure that input is properly verified.

PROVIDED AND/OR DISCOVERED BY:
Chip D3 Bi0s

ORIGINAL ADVISORY:
http://milw0rm.com/exploits/8898

รายละเอียดคร่าวๆ ของหนังสือมีดังนี้

• Build feature-rich online stores with Joomla! 1.0/1.5 and VirtueMart 1.1.x
• Build your own e-commerce web site from scratch by adding features step-by-step to an example e-commerce web site
• Configure the shop, build product catalogues, configure user registration settings for VirtueMart to take orders from around the world
• Manage customers, orders, and a variety of currencies to provide the best customer service
• Handle shipping in all situations and deal with sales tax rules
• Covers customization of site look and feel and localization of VirtueMart

ดูรายละเอียดเพิ่มเติม หรือสั่งซื้อได้ที่ http://www.packtpub.com/joomla-e-commerce-with-virtuemart-1-1-x/book

ทีมจูมล่าลายไทย ได้รีลีสต์ไฟล์ภาษาสำหรับใช้งานบนจูมล่า 1.5.11 แล้ว ซึ่งในแพคเกจของไฟล์ภาษา ได้ถูกสร้างออกมา 3 รูปแบบ ดังนี้

1. th-TH_joomla_lang_admin.1.5.11v1.zip เป็นไฟล์ภาษา ที่ใช้สำหรับนำไปใช้แสดงการใช้งานเฉพาะด้านผู้ดูแลเท่านั้น
2. th-TH_joomla_lang_site.1.5.11v1.zip เป็นไฟล์ภาษา ที่ใช้สำหรับเฉพาะด้านหน้าเว็บเท่านั้น
3. th-TH_joomla_lang_full.1.5.11v1.zip เป็นไฟล์ภาษา ที่ใช้สำหรับการแสดงผลภาษาไทย ทั้งในด้านผู้ดูแล และด้านหน้าเว็บ โดยด้านหน้า จะแสดงวัน เดือน ปี แบบปกติ

VERIFY ADVISORY:
http://secunia.com/advisories/35278/

DESCRIPTION:
Some vulnerabilities have been reported in Joomla!, which can be
exploited by malicious users to conduct script insertion attacks and
by malicious people to conduct cross-site scripting attacks.

1) Certain unspecified input is not properly sanitised before being
used. This can be exploited to insert arbitrary HTML and script code,
which will be executed in a user's browser session in the context of
an affected site when the malicious data is displayed.

2) Certain unspecified input passed to the user view of the com_users
core component is not properly sanitised before being returned to the
user. This can be exploited to execute arbitrary HTML and script code
in a user's browser session in context of an affected site.

3) Certain unspecified input passed to the "JA_Purity" template is
not properly sanitised before being returned to the user. This can be
exploited to execute arbitrary HTML and script code in a user's
browser session in context of an affected site.

The vulnerabilities are reported in Joomla! 1.5.10 and all prior
1.5.x releases.

SOLUTION:
Update to version 1.5.11.
http://www.joomla.org/download.html

PROVIDED AND/OR DISCOVERED BY:
1) Reported by the vendor.
2) The vendor credits Airton Torres.
3) The vendor credits Juan Galiana Lara.

ORIGINAL ADVISORY:
1) http://developer.joomla.org/security/news/297-20090602-core-frontend-xss.html
2) http://developer.joomla.org/security/news/295-20090601-core-comusers-xss.html
3) http://developer.joomla.org/security/news/296-20090602-core-japurity-xss.html

โครงงาน Joomla ได้ถูกประกาศออกมาใหม่แล้ว เพื่อการใช้งานที่สมบูรณ์สูงสุด ควรอัพเกรดทันทีเป็น Joomla 1.5.11 [Vea]. นี่เป็นรุ่นที่ปรับปรุงเรื่องความปลอดภัย และเพื่อการใช้งานที่ปลอดภัย ควรจะทำการอัพเกรดทันที.

ในรุ่นนี้ประกอบด้วย 26 บักที่แก้ไข, หนึ่งการแก้ไขความปลอดภัยระดับต่ำ และสองการแก้ไขความปลอดภัยระดับปานกลาง. เมื่อประมาณ 11 สัปดาห์ที่ผ่านมา ตั้งแต่ Joomla 1.5.10 ถูกปล่อยออกมา เมื่อ 28 มีนาคม 2552. โดยทีม Development Working Group's ได้ทำงานกันต่อไปอย่างสม่ำเสมอ, เพื่อกลุ่มผู้ใช้ Joomla ทั่งหลาย.

? งานเสวนากลุ่ม Joomla! User Group Thailand ครั้งที่ 1
จะมีขึ้นในวันเสาร์ที่ 30 พ.ค. 2552? เวลา 13.30น. - 16.30 น.
ที่ บริษัท มาร์เวลิค เอ็นจิ้น จำกัด อาคาร KPN ถนนพระราม 9 [แผนที่]?

?ซึ่งมีผู้สนใจลงทะเบียนเข้าร่วมงานจำนวนมาก และต้องปิดรับการลงทะเบียนในเวลาอันรวดเร็ว? ด้วยสถานที่ไม่เอื้ออำนวย แต่สำหรับท่านใด ที่ไม่ได้ลงทะเบียนไว้ก่อน แต่มีเวลาว่าง อยากแวะเข้ามาร่วมพูดคุยและเปลี่ยนประสบการณ์ในกลุ่ม สมาชิกก็แวะเวียนเข้ามาได้ครับ แต่อาจจะต้องเผื่อใจไว้นิดนึง อาจจะต้องนั่งพื้นกันทีเดียว สำหรับเสื้อยืด JUG นั้น สามารถสั่งจองได้ในวันงานครับในราคา 250 บาท(ใครจะบริจาคเพิ่มก็ได้ครับ) รายได้เพื่อใช้ในการจัดกิจกรรมที่จะมีขึ้นในอนาคต งาน JUG นี้เป็นกิจกรรมเสวนา ประจำเดือน จะจัดให้มีขึ้นทุกเดือน ส่วนงาน JoomlaDay? ซึ่งจะเป็นงานใหญ่ประจำปีของเรานั้น ทีมงานกำลังเตรียมงานกันอยู่ครับ??