[20091103] - Core - XML File Read Issue
- Project: Joomla!
- SubProject: All
- Severity: Low
- Versions: 1.5.14 and all previous 1.5 releases
- Exploit type: Extension Version Disclosure
- Reported Date: 2009-October-13
- Fixed Date: 2009-Nov-03
Description
It is possible to read the contents of an extension's XML file and find the version number of the installed extension. This could allow people to exploit a known security flaws for a specific version of an extension.
Affected Installs
All 1.5.x installs prior to and including 1.5.14 are affected.
Solution
Turn on Apache mod_rewrite and configure your .htaccess file to filter out XML files. In the htaccess.txt file shipped with version 1.5.15, lines 35-39 contain example code that will deny access to XML files. You can incorporate this code (or similar code) into your .htaccess file. Be sure to test that it does not cause problems on your site.
Reported by WHK and Gergő Erdősi
Contact
The JSST at the Joomla! Security Center.
Kunena - der Nachfolger vom Fireboard
Simpleboard - Joomlaboard - Fireboard und was kommt demnächst? Ein spannendes Rennen um die Krone des besten integrierten Joomlaforums ist entbrannt. Von Haus aus bringt Joomla! keine Forenkomponente mit. Viele Joomla!-User kennen das, die Suche nach einem geeigneten Board entwickelt sich schnell zu einer frustrierenden Angelegenheit. Foren wie PHPBB, SMF und ein paar andere können zwar mit einer Bridge, jedoch oft nicht ohne Wrapper eingebunden werden. Ist die Installation tatsächlich geglückt, beschränkt sich die Integration auf ein Duallogin und der Synchronisation der User.
Joomla!-User wollen Lösungen, bei denen alle Komponenten, Module und Plugins wie Zahnräder ineinander greifen. Möglichst sollen Community Builder, Forum, Message-System, Discussbot, Eventlist harmonieren (hier wird etwas geschrieben und zusätzlich in einer anderen Extension angezeigt), viele andere Konstellationen, zum Beispiel mit Jomsocial, SEF oder Docman sind ebenso gefragt. Das Forum, als zentrale Schnittstelle, ist nach wie vor ein Stiefkind der Joomla! Gemeinde, vor allem wenn es unter Joomla! 1.5 native laufen soll.
Joomla! Erweiterungen Verzeichnis (JED) nun ausschließlich mit GPL-Lizenzierten Listungen
Bereits gestern Nacht um 24 Uhr lief die Frist ab, die Joomla!-Entwicklern die Möglichkeit gab ihre Erweiterungen welche in der Joomla! Extensions Directory gelistet sind und keine gültige Lizenz in Verbindung mit Joomla! haben, um zu lizenzieren auf eine offene Code-Lizenz. Dieser Aufforderung sind nicht alle Entwickler nachgekommen. Pünktlich zum Ende der Frist wurden darum alle Nicht-GPL-Lizenzierten Erweiterungen aus der Joomla! Extension Directory gelöscht. Dies hat zur folge, dass zum jetzigen Zeitpunkt statt wie vorher ca. 4600 Erweiterungen nur noch 2990 Erweiterungen gelistet und somit auf der Joomla!-Mutterseite zugänglich sind.