De ontwikkelaars van Joomla hebben in de vorm van versie 1.5.6 een nieuwe build uitgebracht. Joomla is een uitgebreid content management system dat op een groot aantal platformen draait en gebruikt kan worden om een weblog, website en/of collaboratiesite te maken. De software biedt daarnaast ondersteuning voor zogenoemde extensions, waarmee de functionaliteit van de eigen site uitgebreid kan worden met bijvoorbeeld statistieken, reactiemogelijkheden en beheertools.
De nieuwe versie van Joomla kan door te klikken op deze link gedownload worden en bevat ten opzichte van de vorige release één bugfix. Het blijkt namelijk dat er in de 1.5.x-tak van Joomla een veiligheidslek zit dat het mogelijk maakt om het wachtwoord van de gebruiker met het laagste user-id te resetten, dat bij Joomla standaard een account met adminrechten is. Meer informatie over de bug kan op de Developer Blog van Joomla worden gelezen:
A flaw in the reset token validation mechanism allows for non-validating tokens to be forged. This will allow an unauthenticated, unauthorized user to reset the password of the first enabled user (lowest id). Typically, this is an administrator user. Note, that changing the first users username may lessen the impact of this exploit (since the person who changed the password does not know the login associated with the new password). However, the only way to completely rectify the issue is to upgrade to 1.5.6 (or patch the /components/com_user/models/reset.php file).
:strip_exif()/i/2004545204.png?f=thumbmedium)
:strip_icc():strip_exif()/u/122405/crop5728be18922c2_cropped.jpeg?f=community){kind=small}
En fijn dat ze dit probleem ook meteen oplossen, het was pas een aantal uur bekent :strip_exif()/u/10069/neutron1.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/27193/crop6530ff7f2f961_cropped.jpg?f=community){kind=small}