Вниманию владельцев сайтов на базе Joomla! 1.5.x CMS

[Rustam Khamidov]

Обнаружена серьёзная уязвимость в безопасности движка. Вследствии чего был выпущен security release 1.5.6
Рекомендуется всем владельцам движков либо апгрейдится до новой версии либо наложить патч.

12 августа 2008г.
* Project: Joomla!
* SubProject: com_user
* Severity: Critical
* Versions: 1.5.5 and all previous 1.5 releases
* Exploit type: Password Reset Forgery
* Reported Date: 2008-August-12
* Fixed Date: 2008-August-12

Цитата:

This will allow an unauthenticated, unauthorized user to reset the password of the first enabled user (lowest id). Typically, this is an administrator user.

Источник

[Rustam Khamidov]

Еще две уязвимости. Нужно переходить на 1.5.8

Цитата:

///////////////////////////////////////////
[20081102] - Core - com_weblinks XSS vulnerability

Posted: 10 Nov 2008 03:56 PM PST
http://feedproxy.google.com/~r/Jooml...erability.html

Project: Joomla!SubProject: com_weblinks Severity:moderateVersions: 1.5.7 and all
previous 1.5 releasesExploit type: XSS Reported Date: 2008-November-9Fixed Date:
2008-November-10 Description
com_weblinks allows raw HTML into the title and description tags for weblink submissions
(from both the administrator and site submission forms). Affected Installs
All 1.5.x installs prior to and including 1.5.7 are affected. Solution
Upgrade to latest Joomla! version (1.5.8 or newer).
Reported By Gergo Erdosi Contact
The JSST at the Joomla! Security Center.



///////////////////////////////////////////
[20081101] - Core - com_content XSS vulnerability

Posted: 10 Nov 2008 03:51 PM PST
http://feedproxy.google.com/~r/Jooml...erability.html

Project: Joomla!SubProject: com_contentSeverity:moderateVersions: 1.5.7 and all previous
1.5 releasesExploit type: XSS Reported Date: 2008-October-03Fixed Date: 2008-November-10
Description
The defaults on com_content article submission allow entry of dangerous HTML tags
(script, etc). This only affects users with access level Author or higher, and only if
you have not set filtering options in com_content configuration. Affected Installs
All 1.5.x installs prior to and including 1.5.7 are affected. Solution
Upgrade to latest Joomla! version (1.5.8 or newer).
Reported By Johan Janssens Contact
The JSST at the Joomla! Security Center.

[Azamat Shamuzafarov]

Цитата:

Сообщение от Rustam Khamidov

Еще две уязвимости. Нужно переходить на 1.5.8

нужно переходить на wordpress :-)

[Dmitry Paleev]

Цитата:

Сообщение от keetano

Цитата:

нужно переходить на wordpress :-)

В вордпрессе уязвимостей не меньше
Нужно своевременно патчить ...

[OK]

Цитата:

Сообщение от keetano

Цитата:

нужно переходить на wordpress :-)

Наверное нужно научиться перестать пользоваться холявой!!!

[Rustam Khamidov]

Оффтоп:

Цитата:

Сообщение от Oybek Khodjaev

Цитата:

Наверное нужно научиться перестать пользоваться холявой!!!

Вы можете привести в пример хотя бы один широко распространенный/гибкий/удобный и платный движок, к которому не выпускались патчи по
безопасности?

P.S. в случае положительного ответа, пожалуйста, не отвечайте здесь, но создайте новый топик. В этом мне бы хотелось постоянно отслеживать конкретно Joomla.

[Ruslan Juldashev]

Оффтоп:

Цитата:

Сообщение от Oybek Khodjaev

Наверное нужно научиться перестать пользоваться холявой!!!

Даже у далеко не бесплатного битрикса периодически выходят патчи безопасности. Присоединяюсь к Рустаму.

[OK]

Цитата:

Сообщение от Rustam Khamidov

Оффтоп:

Цитата:

Вы можете привести в пример хотя бы один широко распространенный/гибкий/удобный и платный движок, к которому не выпускались патчи по
безопасности?

P.S. в случае положительного ответа, пожалуйста, не отвечайте здесь, но создайте новый топик. В этом мне бы хотелось постоянно отслеживать конкретно Joomla.

ОК!
Наверное Алексей Ким сможет более компетентно ответить на этот вопрос.

[VasiliO]

Выпущен очередной релиз безопасности — Joomla 1.5.10 [Wohmamni]. В данной версии исправлено 66 ошибок, обнаруженных при тестировании Joomla 1.5.x (среди них две, связанные с безопасностью). Разработчики настоятельно рекомендуют обновиться до данной версии. Обновленные пакеты локализации уже доступны к загрузке с нашего сайта.

Среди исправленных ошибок есть и пара ошибок связанных с безопасностью. Первая ошибка связана с наличием потенциальной XSS уязвимости в административных компонентах (com_admin, com_media, com_search), вторая с XSS уязвимостью в виде (view) категории компонента com_content. Разработчики не сообщают, подвержены ли этим ошибкам предыдущие версии, но в любом случае, рекомендуется обновиться до Joomla 1.5.10.

Среди остальных изменений можно отметить исправление ошибки при поиске слов с заглавной буквой Р (см. на форуме: preg_replace() и заглавная русская Р).

Более подробную информацию об исправленных ошибках можно прочитать в пресс-релизе к версии 1.5.10: Joomla 1.5.10 Security Release Now Available.
Загрузить Joomla 1.5.10 [Vatani]

Скачать Joomla 1.5.10 [Wohmamni] (c Joomlaportal.ru)
Скачать Joomla 1.5.10 [Wohmamni] (c joomlacode.org)

ну а это в вдогонку Жумлу пачат постоянно но и все остальные СМС тоже главное что обновление выходят часто и движок переписывают и дописывают не то что мамба прародительница

[Armenco]

Работаю в 1.5.14.. Для новостного сайта с определенным известным контентом и четкой структурой - самое то, что надо. Все патчи стоят, все работает отлично. Платить кому-то за сайт, чтобы потом разбираться со всей этой кодовой фигней, чтобы сделать редизайн или что-то поменять по-круному - нафига такое надо... для большинства сайтов хватит и фриварных CMS. Если делать с умом, то все будет ок... по-крайней ломают и то и другое, если надо. У меня только один пока