Sicherheitsmeldungen

VM 1.1.3 ist ein empfohlenes Update, welches einige Sicherheitsmängel behebt, weitere Erweiterungen bereitstellt und etliche kleinere "Fehler" beseitigt ( siehe "Changelog" ).Die Installationspakete und Patches finden Sie auf der Entwicklerseite.Um das Update auf die Version 1.1.3 zu installieren, loggen Sie sich in den VirtueMart Administrator-Account ein und wählen den Menüpunkt "Nach Updates suchen" im Administrationsmenü. Klicken Sie dann auf den Menüpunkt "Jetzt überprüfen" und folgen den weiteren Anweisungen. ( Alternativ laden Sie den Virtuemart 1.1.3 Patch direkt auf Ihre lokale Festplatte und verwenden den Menüpunkt "upload a patch")Hinweis: Wenn Sie Virtuemart 1.1.0 verwenden, müssen Sie zuerst auf Virtuemart 1.1.1 aktualisieren und dann erst auf Virtuemart 1.1.3.
Eine neue Sicherheits-Version 2.0.1 des eXtplorer (ein auf PHP und Javascript basierender Filemanager, früher bekannt gewesen als JoomlaXplorer) ist freigegeben worden. Der eXplorer dient zur Verwaltung des Webverzeichnisses aus dem Joomla! Backend-Bereich heraus. Diese Komponente kann unter Joomla 1.5.x nativ als auch unter Joomla 1.0.x verwendet werden.Versionshinweise und "Changelog"Release-Name: eXtplorer 2.0.1Anmerkung:Diese Version von eXtplorer behebt eine Sicherheitslücke (file contents disclosure = Offenlegung der Datei-Inhalte), welche in allen Versionen (kleiner=gleich) (<= 2.0.0.) vorkommt. Eine neue Funktion wurde hinzugefügt: WebDAV-Support. Mehr Informationen finden Sie demnächst auf der Webseite des Entwicklers.Es wurden weitere Fehler behoben.Änderungen: Script hinzugefügt für WebDAV-Zugriff (defaultmässig deaktiviert, benötigt 2 Datenbanktabellen und ein -Login) Sicherheitsmeldung wurde behoben in der "script initialization". Des Weiteren kann der extplorer auch Standalone, also unabhängig von Joomla!, installiert werden.Installation als Standalone Script Archiv entpacken (wo das README.txt enthalten ist) in ein Verzeichnis auf Ihrem Rechner. Loggen Sie sich auf Ihrem FTP ein und erstellen Sie ein Unterverzeichnis für den eXtplorer. Laden Sie alle eXtplorer-Dateien von Ihrem Computer in das Unterverzeichnis des Servers das Sie erstellt haben Öffnent Sie mit dem Browser die entsprechende Adresse: http://<IHREURL>/<UNTERVERZEICHNIS> und melden Sie sich an. Vergessen Sie nicht, umgehend das Passwort für den Administrator zu ändern. Falls Sie das Passwort…
Mit der bekannt gewordenen Sicherheitslücke in der Joomla!-Version 1.5.8 können Angreifer per Verzeichniswechselangriff beliebige Dateien einsehen.Da der Code der 1.5.x gerade eingefroren wurde, kann man davon ausgehen, dass in den nächsten Tagen ein Update auf die Version 1.5.9 erscheinen wird. Es bleibt jedoch fraglich, ob das bis zum Bekanntwerden der Sicherheitslücke auch berücksichtig wurde, was nicht den Anschein hat.Das ist auch nicht ganz so schlimm, denn in Joomla! ist nur ein 'connector' dabei. Der eigentliche Editor muss separat installiert werden von hier: http://xstandard.com/ Anforderungen.. http://xstandard.com/en/documentation/xstandard-dev-guide/requirements/ Der Editor ist an sich recht schlank und schön. Weil es ein Browser Plugin ist, der beim Client läuft und nicht alles aus dem Web geladen werden muss. Also halb so schlimm. Meldung auf Secunia
Das Joomla-Projekt hat die sofortige Verfübarkeit von Joomla 1.5.14 [Wojmamni ama naiki] verkündet. Dieses Release behebt zwei Fehler, die sich in der Version 1.5.13 eingeschlichen haben und ein als niedrig priorisierter Sicherheitsfehler. Entgegen einem Zyklus von normalerweise 6 oder 8 Wochen, wurde dieses Release bereits freigegben. Das letzte Release Joomla 1.5.13 wurde am 22. Juli 2009 freigegeben. Download: Click here to download Joomla 1.5.14 (Full package) » Click here to find an update package. »
Project: Joomla! SubProject: com_content Severity: Moderate Versions: 1.5.14 and all previous 1.5 releases Exploit type: Front-End Editing Reported Date: 2009-September-05 Fixed Date: 2009-November-03 Description When logged into the front end with Author access, it was possible to replace an article written by another user. Affected Installs All 1.5.x installs prior to and including 1.5.14 are affected. Solution Upgrade to latest Joomla! version (1.5.15 or newer). Reported by Hannes Papenberg Contact The JSST at the Joomla! Security Center.
Project: Joomla! SubProject: All Severity: Low Versions: 1.5.14 and all previous 1.5 releases Exploit type: Extension Version Disclosure Reported Date: 2009-October-13 Fixed Date: 2009-Nov-03 Description It is possible to read the contents of an extension's XML file and find the version number of the installed extension. This could allow people to exploit a known security flaws for a specific version of an extension. Affected Installs All 1.5.x installs prior to and including 1.5.14 are affected. Solution Turn on Apache mod_rewrite and configure your .htaccess file to filter out XML files. In the htaccess.txt file shipped with version 1.5.15, lines 35-39 contain example code that will deny access to XML files. You can incorporate this code (or similar code) into your .htaccess file. Be sure to test that it does not cause problems on your site. Reported by WHK and Gergő Erdősi Contact The JSST at the Joomla! Security Center.
LFI - community polls Feb 17 upgrade to version 1.5.3
Directory Traversal. Back end access required Feb 05 Please upgrade to version 1.0.4
SQLi - Unable to locate developer. Possibly a custom extension. Feb 01 Not Known
Página 1 de 18