Actualités sécurité autour de Joomla! et ses extensions

logo_virutemart Les auteurs de VirtueMart nous informent de la disponibilité d'une version de maintenance pour leur composant de e-commerce.

Cet update fixe les bugs présent de la version 1.0.8 et une  complète compatibilité avec Joomla! 1.0.12, la mise à jour de votre installation est fortement recommandée.

Accéder à la page de téléchargement de la version 1.0.9


Logo_JCEFrSirt nous informe d'une faille dans le composant de commmentaire JCE.

Information du 08/12/2006

Plusieurs vulnérabilités ont été identifiées dans JCE Admin (module pour Joomla), elles pourraient être exploitées par des attaquants distants afin d'accéder à des informations sensibles ou afin d'exécuter un code JavaScript malicieux.

Le premier problème résulte d'erreurs présentes au niveau du fichier "jce.php" qui ne filtre pas correctement les variables "plugin" et "file", ce qui pourrait être exploité par des attaquants distants afin d'inclure des fichiers locaux présents au sein d'un système vulnérable.

La seconde faille résulte d'erreurs présentes au niveau du script "jce.php" qui ne filtre pas les paramètres "img", "title", "w" et "h", ce qui pourrait être exploité par des attaquants afin d'injecter un code HTML/Javascript malicieux coté client.

Versions Vulnérables

JCE Admin (module pour Joomla) version 1.1.0 beta 2 et inférieures
JCE Admin (module pour Joomla) version 1.0.4 (avec patch de sécurité 21-08-2006) et inférieures

Solution

Aucun correctif officiel n'est disponible pour l'instant.

Références


http://www.frsirt.com/bulletins/8262

Nous ne pouvons que féliciter la réactivé des créateurs de ce composant qui viennent de mettre en ligne, une mise à jour corrigeant toutes ces failles.

Nous vous conseillons vivement d'installer rapidement cette mise à jour.

Plus d'informations sur le téléchargement de cette mise à jour.

FrSIRT nous informe de la présence d'une faille mineure dans le composant FacileForms.

 
Une vulnérabilité a été identifiée dans FacileForms, elle pourrait être exploitée par un utilisateur distant afin de conduire des attaques par cross site scripting. Ce problème résulte d'une erreur inconnue présente au niveau du traitement de certaines variables malformées, ce qui pourrait être exploité par des attaquants afin d'injecter un code HTML/Javascript malicieux coté client.

Versions Vulnérables

FacileForms version 1.4.6 et inférieures

Solution

Utiliser FacileForms version 1.4.7 ou appliquer le correctif :


virusSuite aux 3 fois ou nous nous sommes fait hacker, nous allons vous etablir une liste des composants et modules qui nous ont touchés :

  •  Une des failles provient du composant Community builder.  Quelques manipulations sont à exécuter de toute urgence....
  • Mais comme si cela ne suffisait pas, plusieures failles ont été découvertes depuis. Nous allons avec votre aide essayer d'établir une liste de tout ce qu'il faut mettre à jour...
 

 

Joomla.fr nous annonce la disponibilité de la dernière version de Joomla.

Traduction de l'annonce officielle:
http://www.joomla.org/content/view/1510/74/

Joomla! 1.0.10 [ Sundown ] est disponible depuis Lundi 26 Juin 2006 04:00 UTC.

Tous les utilisateurs Joomla! DOIVENT METTRE A JOUR leur site vers cette version en raison de failles de sécurité hautement critiques découvertes dans toutes les versions antérieures de Joomla! Joomla! 1.0.10 apporte les changements suivants:
 
* 3 correctifs de sécurité majeurs
* 1 correctif de sécurité moyen
* 5 correctifs de sécurité mineurs
* 40+ correctifs de bugs
Joomla! 1.0.10 est disponible en package d'installation complet et en package de mise à jour pour toutes les versions précédentes de Joomla! 1.0.x.

Lire la suite sur Joomla.fr