Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 8 reacties
Bron: Joomla, submitter: Juiceh

Joomla! logoDe ontwikkelaars van Joomla hebben in de vorm van versie 1.5.6 een nieuwe build uitgebracht. Joomla is een uitgebreid content management system dat op een groot aantal platformen draait en gebruikt kan worden om een weblog, website en/of collaboratiesite te maken. De software biedt daarnaast ondersteuning voor zogenoemde extensions, waarmee de functionaliteit van de eigen site uitgebreid kan worden met bijvoorbeeld statistieken, reactiemogelijkheden en beheertools.

De nieuwe versie van Joomla kan door te klikken op deze link gedownload worden en bevat ten opzichte van de vorige release ÚÚn bugfix. Het blijkt namelijk dat er in de 1.5.x-tak van Joomla een veiligheidslek zit dat het mogelijk maakt om het wachtwoord van de gebruiker met het laagste user-id te resetten, dat bij Joomla standaard een account met adminrechten is. Meer informatie over de bug kan op de Developer Blog van Joomla worden gelezen:

A flaw in the reset token validation mechanism allows for non-validating tokens to be forged. This will allow an unauthenticated, unauthorized user to reset the password of the first enabled user (lowest id). Typically, this is an administrator user. Note, that changing the first users username may lessen the impact of this exploit (since the person who changed the password does not know the login associated with the new password). However, the only way to completely rectify the issue is to upgrade to 1.5.6 (or patch the /components/com_user/models/reset.php file).
Moderatie-faq Wijzig weergave

Reacties (8)

Zit zelf zo;n beetje de hele dag op joomla.org aangezien mijn site deze cms gebruikt dus kon het meteen melden. Toch goed zo'n security release.
Joomla! 1.5.7 Goals
Due to the urgent nature of the Joomla 1.5.6 release, the following goals were pushed from version 1.5.6 to 1.5.7:

* Menu performance improvements
* Replacement of the Pear library
* Update of the OpenID library to v 2.0
* Consistency for 403 errors and "Register to Read More" functionality
* Identify and fix Form Redirects that do not have SEF URLs
* Expand Automated URL testing scenarios
* Recruit Bug Squad members who use Joomla with non-English languages, especially those who use a RTL language
* Introduction of Unit Testing
* Continue working on the //TODO tags in source code
Heerlijk stukje software, al is de learning curve voor nieuwe beginners nog vrij hoog. Ze zouden is wat meer naar de inner workings van wordpress moeten kijken.... :D
Ik kreeg automatisch een emailtje gestuurd en heb het meteen bij mijn websites geinstalleerd. Werkte goed, geen enkel probleem mee gehad :) En fijn dat ze dit probleem ook meteen oplossen, het was pas een aantal uur bekent :)
Ik heb 'm hier ook snel ge´nstalleerd, ook al ben ik niet diegene die dat normaal gesproken doet - die is er pas vrijdag weer en met zo'n exploit de site laten draaien vond ik geen goed idee.... zeker niet omdat er al eens eerder een 0-day exploit was die de dag erna meteen was misbruikt door een stel scriptkiddies. Kreeg onze site opeens een 'hacked' frontpage van een stel Turkse nepperds.

Afijn, installatie was lekker eenvoudig en alles draait nog als een zonnetje dus ik zal het wel goed hebben gedaan :)
Nadat ik de melding al in mijn inbox had gezien van compass designs en daarna op tweakers heb ik meteen even de patch ge´nstalleerd. Zelf zat ik nog op 1.5.3 maar aangezien ik een redelijk onbekende site heb is de noodzaak voor updaten niet altijd aanwezig. Deze update leek me wel de moeite waard. Het stelt ook niks voor, gewoon huidige bestanden met de patchbestanden overschrijven is voldoende.

Een hoge learning curve bij Joomla wat sniek zegt, daar kan ik me niet geheel in vinden. Misschien omdat ik al een paar jaar met Joomla bezig ben maar andere CMS'en zoals drupal of typo3 vond ik toch pittiger en heb ik daardoor links laten liggen.
Vergelijk het maar (zoals sniek aangeeft) met WordPress en je zal hem echt gelijk moeten geven :)
Vreemd dat dit soort lekken nog in Joomla kunnen voorkomen:

http://www.milw0rm.com/exploits/6234
Ik wou net dezelfde link pasten ;-) Ze waren er wel snel bij !

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True