Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 6 reacties
Bron: Joomla, submitter: jw070386

Joomla! logo (75 pix)Versie 3.4.7 van Joomla! is uitgekomen. Joomla! is een dynamisch, in php geschreven contentmanagementsysteem, dat kan worden gebruikt om bijvoorbeeld een weblog, website of samenwerkingssite te maken. Om het programma in het Nederlands te gebruiken kun je onder andere op Joomla Community terecht. In versie 3.4 zijn onder meer verbeteringen aan de editor aangebracht en is de beveiliging aangescherpt. In deze update zijn verder nog twee beveiligingsproblemen verholpen.

What's in 3.4.7

Version 3.4.7 is released to address two reported security vulnerabilities and includes security hardening of the MySQLi driver to help prevent object injection attacks.

The Joomla Security Strike team has been following up on the critical security vulnerability patched last week. Since the recent update it has become clear that the root cause is a bug in PHP itself. This was fixed by PHP in September of 2015 with the releases of PHP 5.4.45, 5.5.29, 5.6.13 (Note that this is fixed in all versions of PHP 7 and has been back-ported in some specific Linux LTS versions of PHP 5.3). The only Joomla sites affected by this bug are those which are hosted on vulnerable versions of PHP. We are aware that not all hosts keep their PHP installations up to date so we are making this release to deal with this issue on vulnerable PHP versions.

Security Issues Fixed

  • High Priority - Core - Session Hardening (affecting Joomla 1.5 through 3.4.6) More information
  • Low Priority - Core - SQL Injection (affecting Joomla 3.0.0 through 3.4.6) More information

Joomla! 3.0 dashboard screenshot (620 pix)

Versienummer:3.4.7
Releasestatus:Final
Besturingssystemen:Scripttaal
Website:Joomla
Download:http://joomla.org/download
Licentietype:GPL
Moderatie-faq Wijzig weergave

Reacties (6)

ps. na verdere onderzoek is de 3.4.7 toch redelijk noodzakelijk voor de security van de zero-day. Het maakt dat er geen varianten van de exploit kunnen gemaakt worden. (Door bijvoorbeeld andere input als attack vectors te gebruiken)
Wil je meer informatie over de Joomla bug, kan je het uitgebreide artikel van PatrolServer lezen. Ze hebben ook een scanner voor deze bug gereleased. Zoals de notes al zeggen, deze exploit kon enkel gereproduceerd worden als een oude versie van PHP had (2 maanden geleden uitgekomen)
De scanner en het artikel gaan volgens mij over de patch naar 3.4.6, dit is weer een nieuwe update naar 3.4.7.
Het artikel gaat over beide. In 3.4.6 heeft joomla deel 1 van het artikel opgelost. Namelijk de input van de data 'gesanitized'. De User-Agent wordt niet meer in de sessie gezet en de HTTP_X_FORWARDED_FOR moet een ip zijn. In 3.4.7 heeft joomla deel 4 opgelost, namelijk de data eerst door base64 gehaald, zodat de string niet afgehakt wordt wanneer mysql een 4-byte UTF-8 symbool tegenkomt.
Schijnen meerdere issues te zijn met deze update: https://issues.joomla.org/
Ik denk dat ik maar even afwacht met deze update.. de test die hier boven werd genoemd laat me zien dat 1 Joomla installatie niet kwetsbaar is. Een andere installatie wordt beschermd door de RS Joomla Firewall.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True