A la suite de la publication de Joomla 1.5.1 (Seenu), nous vous informons de la mise à jour de Joomla 1.0.14 (Daybreak). Cette nouvelle version corrige plusieurs graves problèmes de sécurité qui ont été découverts depuis la dernière version stable Joomla! 1.0.13, notamment des "cross site scripting" qui intervenaient dans des circonstances très particulières mais possibles. L'équipe de développement en a également profité pour corriger de nombreux autres bugs et problèmes généraux.

La communauté Joomla annonce la publication de Joomla 1.5.1 (nom de code « Seenu »). Joomla 1.5.1 corrige une vulnérabilité de sécurité dans l’API XML-RPC Blogger  qui permet à un utilisateur non autorisé d'éditer, de publier et supprimer des articles. Il est fortement recommandé à tous les utilisateurs de Joomla 1.5 de mettre à niveau vers Joomla 1.5.1, surtout si le système XML-RPC est en cours d'utilisation.

Cette vulnérabilité est classée importante sur l’échelle des priorités de sécurité. Même si cette fonctionnalité est inactive par défaut dans Joomla 1.5 (il faut l’activer pour que cette vulnérabilité puisse endommager votre site), nous vous recommandons fortement de mettre à jour votre version de Joomla 1.5.0 en 1.5.1.

Plusieurs composants viennent récemment de subir les attaques de hackers.

• Joomla com_wmtgallery Remote File Include
• Wmtportfolio version 1.0 de http://www.webmaster-tips.net qui présente une faille d'injection SQL
• Joomla! 1.5 Beta1/Beta2/RC1 Remote SQL Injection Exploit
• Joomla Component EventList <= 0.8 (did) Remote Blind SQL Injection Vulnerability
• Joomla Component SimpleFAQ V2.11 - Remote SQL Injection
• joomla com_gmaps 1.00 Remote SQl Injection
• Joomla Component Phil-a-Form <= 1.2.0.0 SQL Injection Exploit
• oWorkflow (faille corrigée, il a donc été reproposé en téléchargement)

Aussi nous vous conseillons de mettre à jour le plus rapidement possible vos extensions et de bien vous tenir à jour des vulnérabilité pouvant être découvertes

 

  Une faille a été identifiée dans le composant MOSMediaLite451, elle permet à des personnes malintentionnées de comprommettre la sécurité d'un serveur en utilisant une faille dans le fichier mosmedia.config.php qui permet de transférer script PHP malicieux vers un serveur vulnérable et exécuter des commandes arbitraires.

A l'heure actuel, aucun patch n'est dispoinible, aussi nous conseillons la plus grande prudence si vous utilisez ce composant.

Source : SecurityFocus

Une vulnérabilité a été identifiée dans le composant GMaps versions antérieures à 1.1, elle pourrait être exploitée afin de conduire des attaques par injection SQL. Ce problème résulte d'une erreur présente au niveau de la fonction "viewmap()" [classes/frontend.class.php] qui ne valide pas le paramètre "mapId" (envoyé via "gmaps.php"), ce qui pourrait être exploité par des attaquants afin d'exécuter des requêtes SQL arbitraires.GMaps 1.1 est à télécharger ici [source]