Ismételten nagy számú Joomla biztonsági hiba került napvilágra november 20 és december 13.-a között. Immáron egyre kérdésesebbé válik, hogy érdemes e tárhelyünkre ennyire labilis rendszert telepíteni.

A most felismert hibák a következők:

• Joomla Component (com_jimtawl) Local File Inclusion Vulnerability
• Joomla JE Ajax Event Calendar Component (com_jeajaxeventcalendar) SQL Injection
• Joomla JE Auto Component 1.0 SQL Injection Vulnerability
• Joomla Component Billy Portfolio 1.1.2 Blind SQL Injection

WordPress 3.0.1 SQL-injekciós hibát fedeztek fel a mai napon a hiba a wp-includes/comment.php file külső meghívása során lép fel. A hibát a CMS 3.0.2-es verziójában javították, így célszerű mihamarabb frissíteni a WordPress tárhelyeken a régebbi verziókat. A teljes mappa külső elérését is érdemes lehet .htaccess el korlátozni.

Az alábbi Joomla biztonsági hibák november 11 és 19 között kerültek elő, ajánlott minden tárhelyen, webtárhelyen ahol Joomla rendszer fut elvégezni a védelmi frissítéseket :

• Joomla Component com_jsupport Critical XSS Vulnerability
• Joomla Component com_jsupport SQL Injection Vulnerability
• Joomla Component ccBoard 1.2-RC Multiple Vulnerabilities
• Joomla Component (com_alfurqan15x) SQL Injection Vulnerability
• Joomla Maian Media Component (com_maianmedia) SQL Injection Vulnerability

Ismételten nagy számú biztonsági hibát fedeztek fel a jelenlegi Joomla CMS rendszerekben, minden webtárhelyen futó alkalmazás frissítést igényel. Az alábbi hibákat 2010. 11. 05.-2010. 11. 10. között találták.

• Joomla ccInvoices Component (com_ccinvoices) SQL Injection Vulnerability
• Joomla Component (com_connect) Local File Inclusion Vulnerability
• Joomla Component (com_dcnews) Local File Inclusion Vulnerability
• Joomla Component (com_ckforms) Local File Inclusion Vulnerability
• Joomla Component (com_clan) SQL Injection Vulnerability
• RSform! 1.0.5 (Joomla) Multiple Vulnerabilities
• Joomla Component (com_clanlist) SQL Injection Vulnerability
• Joomla Component ProDesk v1.5 LFI
• Joomla Component JQuarks4s 1.0.0 Blind SQL Injection Vulnerability
• Joomla Component (btg_oglas) HTML & XSS Injection Vulnerability
• Joomla Component (com_markt) SQL Injection Vulnerability
• Joomla Component (com_img) LFI Vulnerability

A mai napon frissítettük webszervereinket a PHP 5.2.14-es verzióra, az 5.2-es széria utolsó verziójára. Innentől kezdve kizárólag a PHP 5.3-as ágát fejlesztik tovább.

Szeptemberi Joomla biztonsági hibák, kérjük ügyfeleinket, hogy frissítsék Joomla rendszereiket tárhelyükön:

2010.09.27.-2010.09.29.

• Joomla Component (com_restaurantguide) Multiple Vulnerabilities
• Joomla TimeTrack Component v1.2.4 Component Multiple SQL Injection Vulnerabilities
• Joomla Component (com_ezautos) SQL Injection Vulnerability
• Joomla Component (com_elite_experts) SQL Injection Vulnerability

2010.09.16.-2010.09.21.

• Joomla FreeStyle SQL Injection Vulnerability
• Joomla Component (com_restaurantguide) Multiple Vulnerabilities

2010.09.07.-2010.09.15.

• Joomla Component (com_jphone) Local File Inclusion Vulnerability
• Joomla Component Mosets Tree 2.1.5 Shell Upload Vulnerability
• Joomla Component (com_jgen) SQL Injection Vulnerability

Augusztusban a következő hibákat tették közre a Joomla fejlesztői:

2010.08.24.-2010.08.27.

• Joomla 1.5 URL Redirecting Vulnerability – érinti az összes Joomla-verziót, az exploit a CMS cookie-kezelését használja ki
• Joomla Component (com_remository) SQL Injection Vulnerability
• Joomla Component (com_remository) Remote Upload File

2010.08.17.-2010.08.23.

• Joomla Component com_extcalendar Blind SQL Injection Vulnerability
• Joomla Component com_zina SQL Injection Vulnerability
• Joomla Component Biblioteca 1.0 Beta Multiple SQL Injection Vulnerabilities
• Joomla Component (com_Fabrik) SQL Injection Vulnerability

Javasoljuk mindenkinek, hogy az elérhető frissítéseket mihamarabb telepítsék tárhelyükre.

E hónapban a megszokottnál kevesebb Joomla biztonsági hiba került napvilágra, a következők ezek:

2010.07.22.-2010.07.28.

• Joomla Frei-Chat Component One Script Insertion Vulnerability
• Joomla! IT Armory Component Multiple SQL Injection Vulnerabilities
• Joomla! TTVideo Component “cid” SQL Injection Vulnerability
• Joomla! Appointinator Component “aid” SQL Injection Vulnerability
• Joomla Component (com_joomla-visites) Remote File inclusion Vulnerability
• Joomla Component (com_youtube) SQL Injection Vulnerability
• Joomla Component (com_joomdle) SQL Injection Vulnerability
• Joomla Component (com_huruhelpdesk) SQL Injection Vulnerability
• Joomla Component (com_golfcourseguide) SQL Injection Vulnerability

2010.07.15.-2010.07.21.

• Joomla Cross-Site Scripting and SQL Injection Vulnerabilities – 1.5.20-as rendszerek mindegyikét érintő biztonsági hiba
• Joomla redSHOP Component “keyword” SQL Injection Vulnerability
• Joomla Tárhely Component (com_staticxt) SQL Injection Vulnerability
• Joomla Component (com_spa) SQL Injection Vulnerability

Szokásunkhoz híven összegyűjtöttük az e havi hivatalosan feltárt Joomla biztonsági hibákat, az e havi lista is magáért beszél:

2010.06.27.-2010.06.30.

• Joomla JE Story Submit Component “view” File Inclusion Vulnerability
• Joomla JE Media Player Component “view” File Inclusion Vulnerability
• Joomla BookLibrary Component Multiple SQL Injection Vulnerabilities
• Joomla Joomanager SQL Injection Vulnerability
• Joomla Component Gamesbox com_gamesbox 1.0.2 (id) SQL Injection Vulnerability
• Joomla Component (com_sef) RFI
• Joomla Tárhely JE Awd Song Component Persistent XSS Vulnerability
• Joomla JE Job Component com_jejob LFI Vulnerability

2010.06.23.-2010.06.26.

• Joomla JE Ajax Event Calendar SQL Injection Vulnerability
• Joomla Component com_realtyna LFI vulnerability
• Joomla Component (com_sef) RFI
• Joomla com_awd_song persistent xss Vulnerability
• Joomla je-media-player LFI Vulnerability
• Joomla Component com_virtuemart Remote File Inclusion
• Joomla jeeventcalenda LFI Vulnerability
• Joomla com_jejob LFI Vulnerability
• Joomla jesectionfinder LFI Vulnerability

2010.06.20.-2010.06.22.

• Joomla CMS Realty Component “Itemid” Cross-Site Scripting Vulnerability
• Joomla Jobline Component “Itemid” Cross-Site Scripting Vulnerability
• Joomla JFaq Component Multiple Vulnerabilities
• Joomla Component com_ybggal 1.0 (catid) SQL Injection Vulnerability
• Joomla Component Picasa2Gallery LFI tárhely vulnerability
• Joomla Template BizWeb com_community Persistent XSS Vulnerability
• Joomla Hot Property com_jomestate RFI Vulnerability
• Joomla Component JomSocial 1.6.288 Multiple XSS
• Joomla Component com_eportfolio Upload Vulnerability

Ez úton közöljük az összegyűjtött májusi Joomla biztonsági hibákat, a már megszokott méretekkel rendelkezik:

2010.05.28.-2010.05.31.

• Joomla Medi-QnA Component “controller” File Inclusion Vulnerability
• Joomla “search” Cross-Site Scripting Vulnerability Input passed to the “search” parameter in administrator/index.php (when “option” is set to “com_users”, “com_trash”, “com_content”, “com_sections”, “com_categories”, “com_frontpage”, “com_messages”, “com_banners”, “com_contact”, “com_menus” when “task” is set to “view”, “com_newsfeeds”, “com_poll”, “com_weblinks”, “com_modules”, or “com_plugins”) is not properly sanitised before being returned to the user. This can be exploited to execute arbitrary HTML and script code in a user’s browser session in context of an affected site.
• Joomla BF Quiz Component “catid” SQL Injection Vulnerability
• Joomla My Car Component Two Vulnerabilities
• Joomla com_quran SQL Injection vulnerability
• Joomla Component com_g2bridge LFI vulnerability

2010.05.19.-2010.05.27.

• Joomla Percha Multicategory Article Component “controller” File Inclusion
• Joomla com_qpersonel SQL Injection Remote Exploit

2010.05.13.-2010.05.18.

• Joomla Component FDione Form Wizard lfi vulnerability
• Joomla Component Seber Cart (getPic.php) Local File Disclosure Vulnerability
• Joomla Component advertising (com_aardvertiser) V2.0 Local File Inclusion Vulnerability
• Joomla Component com_konsultasi (sid) SQL Injection Vulnerability
• Joomla Component com_jequoteform – Local File Inclusion
• Joomla Component JE Job Local File Inclusion Vulnerability
• Joomla Component com_camp SQL Injection Vulnerability
• Joomla Component MS Comment LFI Vulnerability
• Joomla Component simpledownload LFI Vulnerability
• Joomla Tárhely Component com_event another sql injection Vulnerability
• Joomla Component com_event Multiple Vulnerabilities
• Joomla Component com_crowdsource SQL Injection
• Joomla Component com_packages SQL Injection Vulnerability
• Joomla 3D Users Cloud Module “tagcloud” Cross-Site Scripting Vulnerability
• Joomla JE Job Component Two Vulnerabilities
• Joomla JE Ajax Event Calendar Component “view” File Inclusion Vulnerability
• Joomla JE Quotation Form Component “view” File Inclusion Vulnerability

2010.05.07.-2010.05.12.

• Joomla Module Camp26 Visitor Data 1.1 Remote code Execution
• Joomla Custom PHP Pages Component com_php LFI Vulnerability
• Joomla Camp26 VisitorData Module Shell Command Injection Vulnerability