Dienstag, 24 Februar 2009 09:35

eXtplorer 2.0.1 - Sicherheitsupdate erschienen

extplorerEine neue Sicherheits-Version 2.0.1 des eXtplorer (ein auf PHP und Javascript basierender Filemanager, früher bekannt gewesen als JoomlaXplorer) ist freigegeben worden. Der eXplorer dient zur Verwaltung des Webverzeichnisses aus dem Joomla! Backend-Bereich heraus. Diese Komponente kann unter Joomla 1.5.x nativ als auch unter Joomla 1.0.x verwendet werden.

Versionshinweise und "Changelog"

Release-Name: eXtplorer 2.0.1


Anmerkung:
Diese Version von eXtplorer behebt eine Sicherheitslücke (file contents disclosure = Offenlegung der Datei-Inhalte), welche in allen Versionen (kleiner=gleich) (<= 2.0.0.) vorkommt. Eine neue Funktion wurde hinzugefügt: WebDAV-Support. Mehr Informationen finden Sie demnächst auf der Webseite des Entwicklers.

Es wurden weitere Fehler behoben.

Änderungen:
  • Script hinzugefügt für WebDAV-Zugriff (defaultmässig deaktiviert, benötigt 2 Datenbanktabellen und ein -Login)
  • Sicherheitsmeldung wurde behoben in der "script initialization".
Des Weiteren kann der extplorer auch Standalone, also unabhängig von Joomla!, installiert werden.

Installation als Standalone Script
  1. Archiv entpacken (wo das README.txt enthalten ist) in ein Verzeichnis auf Ihrem Rechner.
  2. Loggen Sie sich auf Ihrem FTP ein und erstellen Sie ein Unterverzeichnis für den eXtplorer.
  3. Laden Sie alle eXtplorer-Dateien von Ihrem Computer in das Unterverzeichnis des Servers das Sie erstellt haben
  4. Öffnent Sie mit dem Browser die entsprechende Adresse: http://<IHREURL>/<UNTERVERZEICHNIS> und melden Sie sich an. Vergessen Sie nicht, umgehend das Passwort für den Administrator zu ändern.
  5. Falls Sie das Passwort für den Administrator nicht ändern können liegt es möglicherweise daran, dass die Benutzer-Datei nicht beschreibbar ist. Mit Ihrem FTP-Programm können Sie die Berechtigungen neu einstellen. Gehen Sie in das Verzeichnis "/config" und stellen Sie die Datei ".htusers.php" um auf "writable" (CHMOD 666).
Das Entwicklerteam rät dringend auf die neue Version zu wechseln, einfach deinstallieren und neu installieren!

Download | Webseite
Published in Sicherheitsmeldungen
Montag, 02 November 2009 02:03

[20091103] - Core - XML File Read Issue

  • Project: Joomla!
  • SubProject: All
  • Severity: Low
  • Versions: 1.5.14 and all previous 1.5 releases
  • Exploit type: Extension Version Disclosure
  • Reported Date: 2009-October-13
  • Fixed Date: 2009-Nov-03

Description

It is possible to read the contents of an extension's XML file and find the version number of the installed extension. This could allow people to exploit a known security flaws for a specific version of an extension.

Affected Installs

All 1.5.x installs prior to and including 1.5.14 are affected.

Solution

Turn on Apache mod_rewrite and configure your .htaccess file to filter out XML files. In the htaccess.txt file shipped with version 1.5.15, lines 35-39 contain example code that will deny access to XML files. You can incorporate this code (or similar code) into your .htaccess file. Be sure to test that it does not cause problems on your site.

Reported by WHK and Gergő Erdősi

Contact

The JSST at the Joomla! Security Center.

Published in Sicherheitsmeldungen