Sécurité Joomla!

Actualités sécurité autour de Joomla! et ses extensions

Détails

kunena 4 news min

L'équipe de développement de Kunena annonce la sortie de la version 4.0.2 de sécurité, fonctionnant sous J!2.5.x et J!3.x. Cette version 4.0.2 corrige une faille de sécurité et les problèmes rencontrés depuis la sortie de Kunena 4.0.1.

Pour connaître certaines des nouvelles fonctionnalités de Kunena 4.0 nous vous conseillons de lire ce sujet du forum SFK.

Kunena 2.logoRésumé des correctifs apportés dans cette version 4.0.2 :

  • XSS: correction d'un problème avec l'autolink (merci à Carsten Schmitz d'avoir remonté le souci)
  • Amélioration des messages non lus pour les moteurs de recherche
  • Chargement du fichier custom.css seulement si il éxiste
  • Lors de l'édition d'un message avec un vidéo celui-ci était supprimé
  • Le paramètre empêchant les invités de voir la liste d'utilisateurs ne fonctionnait pas si on entrait directement l'url
  • En cas de réponse à un sujet, le titre du sujet n'apparaissait pas dans le fil d’Ariane
  • Blue eagle: l'envoi des pièces jointes fonctionnait avec le paramètre de taille maximum des avatars
  • Activation de l'option des icônes de sujet sous J2.5
  • Les modérateurs de catégories sont affichés modérateurs même dans les catégories ou ils ne le sont pas
  • Crypsis: l'utilisation d'un plugin pour la barre des bbcodes ne fonctionnait plus avec l'éditeur de crypsis
  • La suppression de tous les messages d'un utilisateur lors d'un ban ne fonctionnait pas
  • Kunena ne peut pas être installé si l'extension fileinfo n'est pas activé

Pour ceux ayant un template de Joomla! utilisant boostrap 3, le template crypsis de Kunena est disponible en bêta pour fonctionner avec bootstrap 3 : crypsis bootstrap 3 béta

Nous vous informons que Kunena 3.0 arrive bientôt en fin de vie et son support se terminera au 31 août 2015.

Télécharger Kunena 4.0.2

Télécharger le pack de langue pour Kunena 4.0.2

Détails

securityL'extension EQ Event Calendar est victime d'une faille de type injection SQL qui pourrait permettre la mise en danger d'un serveur vulnérable.

Cette faille est présente sur la versions 1.0, les versions antérieures sont probablement aussi concernées.

Nous vous conseillons de ne plus utiliser cette extension dans l'attente d'un correctif de sécurité de l'éditeur.

Editeur: : Byeqima.com

Source : Packet Storm

Détails

piratgeL'extension AllVideos est victime d'un faille de type XSS qui pourrait permettre la mise en danger d'un serveur vulnérable.

Cette faille est confirmée sur la version 4.6.1 pour toutes les versions de Joomla, les versions antérieures sont aussi concernées.

Nous vous conseillons de ne plus utiliser cette extension dans l'attente d'un correctif de sécurité de l'éditeur.

Editeur: Joomlaworks

Source : JoomlaVel

Mise à jour le 21/04/2015 : Installer le correctif avec la version 4.7.0

Détails

sec life privL'équipe de Virtuemart nous informe de la mise à disposition de la version 3.0.4 qui corrige une vulnérabilité présente dans les versions antérieures.

Il est conseillé d'appliquer la nouvelle version sur vos sites d'E-commerce, si vous ne souhaitez pas utiliser cette mise à jour rapidement vous devrez effectuer une petite correction sur l'un des fichiers du noyau de Virtuemart.

Ouvrir le fichier config.php présent dans le répertoire /administrator/components/com_virtuemart/helpers/config.php

  • chercher  la ligne 583 : ini_set ('display_errors', '1');
  • et l'éditer : ini_set ('display_errors', '0');

Télécharger la dernière version

Source : Virtuemart

Détails

25 farewell

La fin de la branche 2.5.x était planifiée et nous voilà donc arrivé à la date fatidique, la fin du support officiel sera effective à compter du 31 Décembre 2014.

Je vais vous éviter la séquence nostalgie sur cette branche en vous résumant en quelques mots ce qu'elle nous a apporté de mon point de vue :

Cette branche a fortement contribué à l'essor de Joomla et engagé un développement résolument tourné vers l'avenir.