Wczoraj grupa YGN Ethical Hacker poinformowała głośno i donośnie, że w Joomla! odkryto kolejną dziurę. Tak wiem, niektórych to wkurza, tak jak mnie, że wciąż znajdowane są nowe sposoby, aby się włamać do tego CMS-a. Ale z drugiej strony, wiem że z każdą poprawką mój system jest szczelniejszy. Najgorszy jest jednak okres od … do. Dlatego Centrum Joomla! w dniu 9.10.2010 przygotowało odpowiednią poprawkę. Uwaga błąd dotyczy wszystkich wersji, a więc poniżej < 1.5.20.
Paczkę instalacyjną z dołączonym pakietem języka polskiego znajdziecie TUTAJ.
Pliki aktualizujące poprzednie wersje do pobrania stąd.
Możesz także ręcznie, eksperymentalnie załatać plik: libraries/joomla/environment/request.php po linii 525 dodając poniższy kod (ale chyba lepiej to zrobić oficjalnym patchem):
$failed |= (strstr(urldecode($key), '<') !== false);
>Ale z drugiej strony, wiem że z każdą poprawką mój system jest szczelniejszy.
hm… zdarza się, że nowe 'aktualizacje’ oprogramowania to nowe błędy w systemie, więc z tą szczelnością to bym nie przesadzał… nie zmienia to faktu, że jeżeli błąd w systemie jest szerzej znany to najlepiej jak najszybciej go załatać.
Najprościej zmienić system.