elimu blog – o CMS Joomla! i Drupal

Ukazała się najnowsza wersja komponentu Xmap 1.2.12 (pobierz) z  dla Joomla 1.5 i J1.6. Jest to aktualizacja zabezpieczeń, która naprawia poważny błąd w kodzie z wcześniejszych wersji, która umożliwia złośliwemu użytkownikowi dokonanie ataku typu Blind SQL Injection(EN) / zastrzyk SQL (PL). Czytaj dalej…

Od wczoraj dostępna jest Joomla! 1.6.4 – oprócz poprawki bezpieczeństwa i innych pomniejszych, aktualizacja ta przygotuje CMS do migracji. Z tych powodów, jest konieczne, abyś nadpisał pliki nowymi (joomla.org). Wspomnieć tylko należy, że błąd wykryto w layoucie kategorii, zatem elemencie, który często się wykorzystuje.

Pojawiło się nowe wydanie dla Drupala 7, oznaczone numerem 7.2. Jego instalacja nie jest jednak obowiązkowa (ponieważ nie łata dziur bezpieczeństwa), ale jak to zwykle bywa zalecana, gdyż zawiera ono kilkadziesiąt poprawek usterek. Jeśli jednak przegapiłeś aktualizacje (ważną!) do wersji 7.1, to jak najszybciej zainstaluj 7.2 – zawiera ono też poprawki bezpieczeństwa wprowadzone do poprzedniej wersji. Czytaj dalej…

No niestety okazało się, że Akeeba Backup  w wersji poniżej 3.2.x ma dziurę bezpieczeństwa (szczegóły). Dlatego zaleca się aktualizacje i to w miarę szybko.

Uwaga, to jest poprawka bezpieczeństwa.  Zaleca się natychmiastową aktualizacje –> http://www.joomla.org/announcements/release-news/5368-joomla-162-released.html, oczywiście oprócz naprawy dziur (8), poprawiono kilkadziesiąt (115) błędów zauważonych przez administratorów.

Zgodnie z zapowiedzią pojawiła się kolejna wersja Joomla! 1.5.23 [senu takaa ama baji], poprawek jest kilka w tym jedna dotycząca bezpieczeństwa (opis zmian).

• Kliknij tutaj aby pobrać Joomla 1.5.23 (Full package) »
• Kliknij tutaj aby pobrać Joomla 1.5.23 (paczki aktualizacyjne) »

Co ciekawe  nowy .htaccess – podnosi szybkość działania strony z uwagi na drobną zmianę sposobu generowania przyjaznych adresów URL. Dlatego warto użyć tego pliku w każdym serwisie stojącym na Joomla! 1.5.

Ponieważ na ogół folder /administrator w Joomla! 1.5 – jest wystawiony bez ochrony, warto aby super administrator wiedział o nieudanych próbach logowań, dzięki czemu dojrzeje do tego, aby chronić ten folder.  Aby zatem dowiedzieć się więcej skorzystaj z dodatku Login Failed Log – który zapisuje każdą próbę zalogowania do panelu i wyśle e-maila o tym administratorowi z informacją o username, password, ip address oraz błędzie. Pamiętaj, aby opublikować plugin.

Developerzy Joomla! opublikowali nową, poprawioną wersję Joomla! 1.6.1. Wydanie to niesie za sobą liczne poprawki w tym w obszarze bezpieczeństwa CMS. Paczka instalacyjna oraz łatka aktualizująca do pobrania ze strony joomlacode.org.

Alert panowie i panie administartorzy Joomla! 1.5 : joomlacontenteditor.net/news/item/jce-1577-released, a przy okazji:

• TinyMCE zaktualizowany do 3.3.9.3
• Poprawiono plugin wstawiania. Dodano przycisk wklejanie z Worda. Using this button when pasting from Word may improve cleanup as in some instances Word content was not always detected and therefore not removed.
• It is now possible to add a leading slash to urls in AdvLink, Image Manager etc. eg: /images/fruit.jpg
• Dodano wsparcie dla HTML5 + inne drobne poprawki

Zazwyczaj nie informuję o poprawkach bezpieczeństwa (przecież każdy szanujący się drupalowiec śledzi stronę http://drupal.org/security, prawda?), ale dziś robię wyjątek, bo i przypadek jest szczególnie groźny.

Moduł Webform (tylko wersje z linii 3.x), popularny dodatek do Drupala służący do przygotowywania formularzy, posiada bardzo groźną podatnośc na atak. Udostępniono już nowszą wersję modułu, więc czym prędzej ją instalujcie, ponieważ, jak pisze na swoim blogu koordynator grupy drupalowego bezpieczeństwa:

1. Podatność (sposób ataku) została opublikowana.
2. Jej wykorzystanie nie wymaga posiadania żadnych uprawnień w serwisie.
3. Bardzo wysoki wpływ – łatwość uzyskania dostępu do konta z uid 1 (administrator).
4. Są doniesienia, że podatność jest aktywnie wykorzystywana.

Zatem – do roboty.

Na rynku dostępnych jest kilka rozszerzeń dla Joomla!, które mają zapewnić jej bezpieczeństwo przed typowymi atakami. Czytaj dalej…

Dziś mimo przeziębienia, zająłem się pilną sprawą klienta. Otóż otrzymał on od znajomego zrzut ekranu z informacją, że na jego stronie pojawia się ostrzegawczy komunikat (rysunek poniżej). W pierwszej chwili myślałem, że to właśnie to narzędzie jest podejrzane, tyle słyszy się o fałszywych antywirusach etc.. Jednakże po krótkiej analizie wyników google, okazało się, że to co innego.
Czytaj dalej…

Dziś oficjalnie miała miejsce odsłona kolejnej wersji komponentu K2,  wersji 2.4. Dzień później wydano 2.4.1 z dodatkową łatką (getk2.org). Oprócz zmian kosmetycznych, poprawiono dosyć istotny błąd bezpieczeństwa, na który narażone były wszystkie serwisy Joomla! z włączoną opcją komentowania artykułów.
Czytaj dalej…