Joomla! 3.4.7

Joomla! logo (75 pix) Versie 3.4.7 van Joomla! is uitgekomen. Joomla! is een dynamisch, in php geschreven contentmanagementsysteem, dat kan worden gebruikt om bijvoorbeeld een weblog, website of samenwerkingssite te maken. Om het programma in het Nederlands te gebruiken kun je onder andere op Joomla Community terecht. In versie 3.4 zijn onder meer verbeteringen aan de editor aangebracht en is de beveiliging aangescherpt. In deze update zijn verder nog twee beveiligingsproblemen verholpen.

What's in 3.4.7

Version 3.4.7 is released to address two reported security vulnerabilities and includes security hardening of the MySQLi driver to help prevent object injection attacks.

The Joomla Security Strike team has been following up on the critical security vulnerability patched last week. Since the recent update it has become clear that the root cause is a bug in PHP itself. This was fixed by PHP in September of 2015 with the releases of PHP 5.4.45, 5.5.29, 5.6.13 (Note that this is fixed in all versions of PHP 7 and has been back-ported in some specific Linux LTS versions of PHP 5.3). The only Joomla sites affected by this bug are those which are hosted on vulnerable versions of PHP. We are aware that not all hosts keep their PHP installations up to date so we are making this release to deal with this issue on vulnerable PHP versions.

Security Issues Fixed

High Priority - Core - Session Hardening (affecting Joomla 1.5 through 3.4.6) More information

Low Priority - Core - SQL Injection (affecting Joomla 3.0.0 through 3.4.6) More information

Joomla! 3.0 dashboard screenshot (620 pix)

Lees meer

Reacties (6)

dolfje 23 december 2015 12:33

ps. na verdere onderzoek is de 3.4.7 toch redelijk noodzakelijk voor de security van de zero-day. Het maakt dat er geen varianten van de exploit kunnen gemaakt worden. (Door bijvoorbeeld andere input als attack vectors te gebruiken)

dolfje 22 december 2015 17:05

Wil je meer informatie over de Joomla bug, kan je het uitgebreide artikel van PatrolServer lezen. Ze hebben ook een scanner voor deze bug gereleased. Zoals de notes al zeggen, deze exploit kon enkel gereproduceerd worden als een oude versie van PHP had (2 maanden geleden uitgekomen)

Mardox 22 december 2015 17:19

De scanner en het artikel gaan volgens mij over de patch naar 3.4.6, dit is weer een nieuwe update naar 3.4.7.

dolfje 22 december 2015 18:58

Het artikel gaat over beide. In 3.4.6 heeft joomla deel 1 van het artikel opgelost. Namelijk de input van de data 'gesanitized'. De User-Agent wordt niet meer in de sessie gezet en de HTTP_X_FORWARDED_FOR moet een ip zijn. In 3.4.7 heeft joomla deel 4 opgelost, namelijk de data eerst door base64 gehaald, zodat de string niet afgehakt wordt wanneer mysql een 4-byte UTF-8 symbool tegenkomt.

mindgem 22 december 2015 20:58

Schijnen meerdere issues te zijn met deze update: https://issues.joomla.org/

nextware 22 december 2015 21:09

Ik denk dat ik maar even afwacht met deze update.. de test die hier boven werd genoemd laat me zien dat 1 Joomla installatie niet kwetsbaar is. Een andere installatie wordt beschermd door de RS Joomla Firewall.

Op dit item kan niet meer gereageerd worden.

Versienummer	3.4.7
Releasestatus	Final
Besturingssystemen	Scripttaal
Website	Joomla
Download	http://joomla.org/download
Licentietype	GPL

10-'23	Joomla! 4.4 / 5.0	30
02-'23	Joomla! 4.2.8	13
09-'22	Joomla! 4.2.3	0
05-'22	Joomla! 4.1.4	0
04-'22	Joomla! 3.10.8 / 4.1.2	0
01-'22	Joomla! 3.10.5 / 4.0.6	0
12-'21	Joomla! 3.10.4 / 4.0.5	14
10-'21	Joomla! 3.10.3 / 4.0.4	3
09-'21	Joomla! 3.10.2 / 4.0.3	2
08-'21	Joomla! 3.10.1 / 4.0.1	2

Software-update: Joomla! 3.4.7

Security Issues Fixed

Update-historie

Lees meer

Reacties (6)

Sorteer op:

Weergave: