Så er der en ny opdatering klar til Joomla!, og du bør selvfølgelig opgradere når du har mulighed for det.
Det er som altid på grund af sikkerheden, at der skal opgraderes. Denne gang er det ikke så alvorlige fejl, men der er potentiel risiko for, at hullerne kan udnyttes.
De fire “trusler” der kan udnyttes:
- Negative værdier i URL. Hvis en person bruger en URL med forespørgsel, der indeholder negative værdier, eller værdier uden for det der er muligt, kan der afsløres indhold omkring systemet.
- Installationsprocessen tjekker ikke zip-filens indhold. Hvis en installationspakke med skadeligt indhold er uploadet, kan det måske udnyttes.
- Session ID bliver ikke ændret ved login. Hvis du kommer fra et websted der har sat en cookie, og besøger et Joomla! websted hvor du logger ind, er der en risiko for at det første websted kan bruge din Joomla! cookie til at logge ind som dig.
- Nulstilling af adgangskode opbevares som ren tekst. Når en bruger får nulstillet adgangskoden, gemmes en kode (token) i databasen som ren tekst, og sendes pr. email til brugeren. Det er ikke nogen umiddelbar risiko, men hvis du har installeret en udvidelse med en sårbarhed for SQL-injektion, kan det udnyttes.
Du kan læse de originale Security News på engelsk
Hvis du har 1.5.15 i forvejen, kan du hente en opgradering på: Joomla.org
De danske sprogfiler er også allerede klar, godt gået: 1.5.16 på Dansk
…
Hav en fortsat fantastisk god dag
Michael Bredahl
