Joomla 1.5.16 Sicherheitsupdate

Joomla! 1.5.16Joomla! 1.5.16 (Wojmamni ama busani) ist erschienen und enthält 2 schwere Sicherheitslücken, welche Websites betreffen die eine PHP-Version kleiner 5.2 verwenden oder wenn der Session-Handler in der globalen Konfiguration auf "aus" (Session Handler = none) geschaltet ist. Wer von diese Einstellungen hat sollte ggf. auf die Version 1.5.17 warten, die sehr bald herauskommen soll.

Diese Voraussetzungen für diese Sicherheitslücken gibt es nicht auf www.deweso.de-Installationen! Für unsere Joomla!-Kunden werden die Updates automatisch nach einer eigenen Überprüfung eingespielt. Bei deweso.de sind Sie also immer auf den neuesten Stand.

Die 1.5.16er Version enthält einige Veränderungen an den Standard-Templates, wenn diese verändert worden sind, sollten vor dem Einspielen des Patches ein Backup der veränderten Templates gemacht werden.
Da es einige Fehler in dem Update Pacht gibt, wird empfohlen das man die Vollversion, wie ein Update-Patch verwendet, nur das man vorher das Verzeichnis "installation/" entfernt.

Sicherheit

  • Mittlere Priorität - Kernkomponente - wenn an die URL einen negative Abfrage oder Offset angegeben wurde, konnten ggf. Informationen über das System ausgegeben
  • Niedrige Priorität - Kernkomponente - das Migrationsskript im Joomla!-Installer überprüfte den Dateitypus bei dem Datei-Upload nicht. Wenn also noch die Installationsroutinen vorhanden waren, hätte man dies von einem Angreifer ausnutzt werden können, um virenverseuchte Dateien auf dem Server hochzuladen.
  • Mittlere Priorität - Kernkomponente - Session IDs wurden nach dem Log-In nicht verändert. So könnte von einer fremden Seite aus ein spezieller Cookie gesetzt werden und danach den Besucher auf eine Joomla!-Website weiterleiten. Wenn sich dann der Besucher auf dieser Joomla!-Site einloggt, könnte die erste (weiterleitende) Seite sich als dieser Benutzer authentifizieren.
  • Niedrige Priorität - Kernkomponente - Wenn ein User eine Passwort-Zurücksetzung beantragt hat, wurde in der Datenbank ein einfacher Text (nicht md5-kodiert) in der Datenbank gespeichert. Diese ist an sich noch keine Sicherheitslücke, nur im Zusammenhang mit einer nicht abgesicherten Erweiterung, die eine SQL-Injection Schwachstelle hat.

Komponenten

  • Fehler in den Kontakten behoben, wenn SEF (Suchmaschinenfreundliche URLs) aktiviert waren.
  • SQL Fehler behoben, wenn News-Feeds nach Sektionen geordnet wurden
  • URLs für Bilder werden nun in den Atom-News-Feeds korrekt angezeigt
  • Sonderzeichen in den Namen von Autoren werden nun korrekt angezeigt
  • Unter speziellen Voraussetzungen wurde der automatische Seitenumbruch in Kategorie-Blog-Seiten nicht korrekt angezeigt
  • Bei sehr langen Bildunterschriften, gingen diese über die Größe des Bildes hinaus
  • Cach-Problem bei der Komponente Kontakte (com_contacts) gelöst
  • In der media.php (com_media) wird nun auch bei einem Dateiaufruf, die Korrektheit/Gültigkeit des Benutzer überprüft
  • PHP Notiz (php notice) bei dem Wechsel der Mitgliederstatus (aktiv / deaktiviert) behoben

Module

  • Caching des "Verwandte Artikel Moduls" (related artivcles module) wurde verbessert
  • PHP Notizen (php notice) im Login-Modul ausgeschaltet.
  • Probleme in der Upgrade-Methode bei der Modul Installation behoben
  • Schreibfehler in mod_latestnews behoben
  • Die Suchfunktion erzeugt nun gültigen HTML-Code im Eingabeformular.
  • Wenn von mod_feed exterene RSS eingebunden wurden, wurden diese nicht korrekt angezeigt und blieben im Frontend leer.
  • Problem behoben, das trotz dessen ein Artikel im Papierkorb war, dieser noch über ein Dropdown erreichbar war (Backend).

Plugins

  • Problem im TinyMCE behoben, das der Text nicht korrekt gespeichert worden ist (RTL = Right to Left), wenn man den Umschalt-Knopf (HTML/Ansicht) betätigt hat.
  • Das Verbergen von E-Mail Adressen wurde verbessert, da nun hinter der E-Mail Adresse ein überflüssiges Leerzeichen entfernt wird.
  • Problem behoben, das manche gültige HTML Attribute nicht mit gespeichert worden sind (z.B. Sprungmarken, die im HTML-Modus hinzugefügt worden sind).

Templates

  • Problem in Sprachen behoben, die von rechts nach links geschrieben werden, behoben was das Laden von Sprachdateien angeht.
  • Beez-Template zeigt nun bei der Suchausgabe auch die korrekten Item-IDs an

Administrator

  • Backend Menü wird bei Rechts nach Links gelesenen Sprachen korrekt angezeigt.
  • Nun können deaktivierte Komponenten (z.B. Wahlen / Polls) nicht mehr als Menüpunkt ausgewählt werden.
  • Problem mit der Position der Module im Modulmanager behoben.

System

  • JFolder::makeSafe Methode verbessert, entfernt nun keinen Punkte in dem Dateipfad
  • Problem behoben, das das Verwenden des Caches in einigen Fällen verhinderte
  • PHP Warnungen entfernt
  • Problem behoben bei der Modul-Installation im Update-Modus
  • Problem mit der Yagoon und Norfolk Zeitzone behoben
  • Wahl-Komponente (Polls) verbessert, so das die Bestätigung einer Veränderung auch ausgegeben wird.
  • JToolbarHelper class media_manager Methode verbessert
  • Auf IIS (Microsoft Internet Information Server) werden die URLs nun korrekt ausgegeben
  • Fehler in Apache Plugins werden besser abgefangen.
  • Reykjavik wurde zu den Zeitzonen hinzugefügt
  • JApplication::redirect() wurde verändert, so das es nicht mehr einen 301 ausgibt.
    Die Weiterleitung (redirect) wird verwendet, um in einem Workflow auf die nächte Seite zu springen. Da sich aber Chrome den 301 (Weiterleitung, weil die Seite permanent umgezogen ist) "merkt" kann es hier zu Problemen kommen. Andere Browser machen dies (noch) nicht. Damit Joomla! auch weterhin für diese Browser benutzbar bleibt, wurde der 301 in einen 303 (Weiterleitung wegen anderer Gründe) gewandelt.
  • Probleme mit Sonderzeiche in Such-URLs behoben (im Apache sowie auch im IIS).


So erreichen Sie uns:

deweso.de - Wir bringen Lösungen

  +49 40 - 59450 981
  info@deweso.de

 deweso.de
Inh. Frank Delventhal
Hermann-Balk-Str. 111a
22147 Hamburg



Zertifizierter Joomla Administrator

Suche