Обнаружена серьёзная уязвимость в безопасности движка. Вследствии чего был выпущен security release 1.5.6
Рекомендуется всем владельцам движков либо апгрейдится до новой версии либо наложить патч.

12 августа 2008г.
* Project: Joomla! (http://www.joomla.org)
* SubProject: com_user
* Severity: Critical
* Versions: 1.5.5 and all previous 1.5 releases
* Exploit type: Password Reset Forgery
* Reported Date: 2008-August-12
* Fixed Date: 2008-August-12

This will allow an unauthenticated, unauthorized user to reset the password of the first enabled user (lowest id). Typically, this is an administrator user.

Источник (http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html)

Еще две уязвимости. Нужно переходить на 1.5.8


///////////////////////////////////////////
[20081102] - Core - com_weblinks XSS vulnerability

Posted: 10 Nov 2008 03:56 PM PST
http://feedproxy.google.com/~r/JoomlaSecurityNews/~3/qvJjYyepavQ/284-20081102-core-comweblinks-xss-vulnerability.html

Project: Joomla!SubProject: com_weblinks Severity:moderateVersions: 1.5.7 and all
previous 1.5 releasesExploit type: XSS Reported Date: 2008-November-9Fixed Date:
2008-November-10 Description
com_weblinks allows raw HTML into the title and description tags for weblink submissions
(from both the administrator and site submission forms). Affected Installs
All 1.5.x installs prior to and including 1.5.7 are affected. Solution
Upgrade to latest Joomla! version (1.5.8 or newer).
Reported By Gergo Erdosi Contact
The JSST at the Joomla! Security Center.



///////////////////////////////////////////
[20081101] - Core - com_content XSS vulnerability

Posted: 10 Nov 2008 03:51 PM PST
http://feedproxy.google.com/~r/JoomlaSecurityNews/~3/45LItFdeH9Q/283-20081101-core-comcontent-xss-vulnerability.html

Project: Joomla!SubProject: com_contentSeverity:moderateVersions: 1.5.7 and all previous
1.5 releasesExploit type: XSS Reported Date: 2008-October-03Fixed Date: 2008-November-10
Description
The defaults on com_content article submission allow entry of dangerous HTML tags
(script, etc). This only affects users with access level Author or higher, and only if
you have not set filtering options in com_content configuration. Affected Installs
All 1.5.x installs prior to and including 1.5.7 are affected. Solution
Upgrade to latest Joomla! version (1.5.8 or newer).
Reported By Johan Janssens Contact
The JSST at the Joomla! Security Center.

Еще две уязвимости. Нужно переходить на 1.5.8

нужно переходить на wordpress :-)

Еще две уязвимости. Нужно переходить на 1.5.8

нужно переходить на wordpress :-)

В вордпрессе уязвимостей не меньше :buba:
Нужно своевременно патчить ...

Еще две уязвимости. Нужно переходить на 1.5.8

нужно переходить на wordpress :-)

Наверное нужно научиться перестать пользоваться холявой!!!

Еще две уязвимости. Нужно переходить на 1.5.8

нужно переходить на wordpress :-)

Наверное нужно научиться перестать пользоваться холявой!!!

Вы можете привести в пример хотя бы один широко распространенный/гибкий/удобный и платный движок, к которому не выпускались патчи по
безопасности?

P.S. в случае положительного ответа, пожалуйста, не отвечайте здесь, но создайте новый топик. В этом мне бы хотелось постоянно отслеживать конкретно Joomla.

Наверное нужно научиться перестать пользоваться холявой!!!
Даже у далеко не бесплатного битрикса периодически выходят патчи безопасности. Присоединяюсь к Рустаму.

нужно переходить на wordpress :-)

Наверное нужно научиться перестать пользоваться холявой!!!

Вы можете привести в пример хотя бы один широко распространенный/гибкий/удобный и платный движок, к которому не выпускались патчи по
безопасности?

P.S. в случае положительного ответа, пожалуйста, не отвечайте здесь, но создайте новый топик. В этом мне бы хотелось постоянно отслеживать конкретно Joomla.


ОК!
Наверное Алексей Ким сможет более компетентно ответить на этот вопрос.

Выпущен очередной релиз безопасности — Joomla 1.5.10 [Wohmamni]. В данной версии исправлено 66 ошибок, обнаруженных при тестировании Joomla 1.5.x (среди них две, связанные с безопасностью). Разработчики настоятельно рекомендуют обновиться до данной версии. Обновленные пакеты локализации уже доступны к загрузке с нашего сайта.

Среди исправленных ошибок есть и пара ошибок связанных с безопасностью. Первая ошибка связана с наличием потенциальной XSS уязвимости в административных компонентах (com_admin, com_media, com_search), вторая с XSS уязвимостью в виде (view) категории компонента com_content. Разработчики не сообщают, подвержены ли этим ошибкам предыдущие версии, но в любом случае, рекомендуется обновиться до Joomla 1.5.10.

Среди остальных изменений можно отметить исправление ошибки при поиске слов с заглавной буквой Р (см. на форуме: preg_replace() и заглавная русская Р).

Более подробную информацию об исправленных ошибках можно прочитать в пресс-релизе к версии 1.5.10: Joomla 1.5.10 Security Release Now Available.
Загрузить Joomla 1.5.10 [Vatani]

Скачать Joomla 1.5.10 [Wohmamni] (c Joomlaportal.ru)
Скачать Joomla 1.5.10 [Wohmamni] (c joomlacode.org)

ну а это в вдогонку Жумлу пачат постоянно но и все остальные СМС тоже главное что обновление выходят часто и движок переписывают и дописывают не то что мамба прародительница ;)

Работаю в 1.5.14.. Для новостного сайта с определенным известным контентом и четкой структурой - самое то, что надо. Все патчи стоят, все работает отлично. Платить кому-то за сайт, чтобы потом разбираться со всей этой кодовой фигней, чтобы сделать редизайн или что-то поменять по-круному - нафига такое надо... для большинства сайтов хватит и фриварных CMS. Если делать с умом, то все будет ок... по-крайней ломают и то и другое, если надо. У меня только один пока

на любом движке есть дыры, даже на платных
в пример можно взять DLE, в котором периодически обнаруживаются критические уязвимости

Наверное нужно научиться перестать пользоваться холявой!!!

Вы знаете не у всех хватит финансовой мощь и специалистов разработать свой движок или купит поэтому вынужденно пользуемся бесплатными, хоть и и с дырами

господа, кто-нибудь мигрировал с 1.5.15 на 1.7?

господа, кто-нибудь мигрировал с 1.5.15 на 1.7? Для начала нужно обновиться до 1.5.24

По вопросу - чота я очкую (с) У меня на 1.5.х навешен JoomFish, а в новых версиях оно как бы в корневой движок встроено. Вот и не пойму никак, чего ожидать при миграции

господа, кто-нибудь мигрировал с 1.5.15 на 1.7? Для начала нужно обновиться до 1.5.24

По вопросу - чота я очкую (с) У меня на 1.5.х навешен JoomFish, а в новых версиях оно как бы в корневой движок встроено. Вот и не пойму никак, чего ожидать при миграции

да, я б и не мигрировал, но в IE9 менюшка в левой колонке сайта кривовато смотрится. если включить "Режим совместимости" (как-то так обзывается), то все ОК.. ну не может IE без причиндалов. Во всех других браузерах все ОК (Firefox, Opera, Mozilla), а IE решил опять выпендриться.. хотя можно конечно с менюшкой повозиться и с шаблоном. а так сторонних скриптов и модулей практически нет.

Разыскиваю специалиста или команду специалистов по Joomla 1.7.
Есть некоммерческий проект, который надо развернуть с нуля.

Новички также могут поучаствовать в этом проекте.

телефон +998 93 5820854

Вы знаете не у всех хватит финансовой мощь и специалистов разработать свой движок
Главное чтобы хватило мозгов и всё получится =)

ы знаете не у всех хватит финансовой мощь и специалистов разработать свой движок
в половине случаев, если не больше, делать свой велосипед движок часто куда более убогий, кривой-косой и дырявый не имеет совершенного никакого смысла.

в половине случаев, если не больше, делать свой велосипед движок часто куда более убогий, кривой-косой и дырявый не имеет совершенного никакого смысла. Хотите сказать что движок сайтов Нормы-Хамкор убогий?

Хотите сказать что движок сайтов Нормы-Хамкор убогий?
Не знаю, не видел. Говорю о тех, что видел.

У меня несколько сайтов всё еще на 1.0 работают - и ничего. Один раз только из шаблона строчку с вирусом убрал, но это один раз за почти пять лет)

У меня несколько сайтов всё еще на 1.0 работают - и ничего. Один раз только из шаблона строчку с вирусом убрал, но это один раз за почти пять лет)
Ну как знать, сам был свидетелем взлома 7 сайтов на joomla пару месяцев назад, и все они были на старой платформе.

У меня несколько сайтов всё еще на 1.0 работают - и ничего. Один раз только из шаблона строчку с вирусом убрал, но это один раз за почти пять лет)
Ну как знать, сам был свидетелем взлома 7 сайтов на joomla пару месяцев назад, и все они были на старой платформе.

да может быть все, что угодно... какие только правительственные сайты каких только стран не взламывали за последний год... причин две: 1) сайт должен быть кому-то очень нужен (проплачен), 2) ребята тренируются... не последнюю роль играет тут, конечно, и техническая служба (уровень) хостинг-провайдера....
больше шансов нарваться на второе обстоятельство.. ну а к первой категории сайтов, думаю, ни один ресурс на Джумле не относится (хотя, не говори ГОП...)..

1. взломы чаще бывают не из-за дыр в cms, а из-за дыр на локальном компе админа сайта. частый случай взлома - сохранение пароля в тотал коммандере (и др. фтп-клиентах).

2. правительственные сайты на джмуле: http://joomlagov.info

p.s. а между тем, доступны новые версии сразу 2х линеек джумлы:
Joomla 1.5.26 Stable
Joomla 2.5.4 Stable

p.s. а между тем, доступны новые версии сразу 2х линеек джумлы:
Joomla 2.5.4 Stable
Обновляемся господа Joomla 2.5.4 (http://source.uz/joomla/novaya-versiya-joomla-2_5_4.html)

Уязвимые версии: Joomla! 2.5.x версий до 2.5.5 (http://www.securitylab.ru/vulnerability/426327.php)

может кому пригодится...
Куртеев Александр | Профессиональное создание Интернет-Магазина под ключ Joomla 1,5 [2009] [ISO] (http://nnm-club.ru/forum/viewtopic.php?t=138119)

Joomla 2.5.8 Released (http://www.joomla.org/announcements/release-news/5470-joomla-2-5-8-released.html)

Joomla 3.0.3 & Joomla 2.5.9 are released! :)
http://www.joomla.org

лучше пока на Stable 2.5 остаться.. а если и пересаживаться, то на 3.5 сразу..

Извиняюсь, что не по теме, но всё же...
Никогда не работал с Joomla, но сейчас приходится, и может мой вопрос покажется глупым, но где редактировать английскую версию сайта? уже 3 день ищу, найти не могу, русская версия меняется, а английская так и остаётся неизменной :(

Какая джумла и русик ставил?

Какая джумла и русик ставил?
1.5.22 , русик - это что? :)

русик - это что?
русификатор, видимо, имеется в виду.

1.5.22 , русик - это что?

Устаревшая версия, рекомендую обновиться хотя бы до 1.5.26, а желательно до 2.5 )
А чтобы контент переводить, нужно установить компонент JoomFish, он позволяет переводить материалы, пункты меню и т.д. Встроенные средства джумлы не позволяют переводить контент, можно локализовать только элементы интерфейса в шаблоне

UPD: Кто нибудь последними версиями Джумлы пользовался? Как она, изменилась хоть? А то давно не работал с ней

UPD: Кто нибудь последними версиями Джумлы пользовался? Как она, изменилась хоть? А то давно не работал с ней
2.5.9 - неплохая штучка, по крайней мере необходимость в JoomFish`е отпала...

Обновлять не рискую, не моё, просто не понимаю как может редактировать ту же запись в базе, но не менять английскую версию , вот к примеру английская версия (http://xalaf.uz/in/index.php?option=com_content&view=article&id=29&Itemid=6&lang=en) и вот русская (http://xalaf.uz/in/index.php?option=com_content&view=article&id=29&Itemid=6&lang=ru) :(
не знаю что делать