Belangrijke veiligheids aankondiging Joomla update

Donderdag 22 oktober 2015 rond 16 uur (Nederlandse tijd) wordt er een veiligheidsupdate voor Joomla uitgebracht:
Joomla versie 3.4.5.

Het Joomla Security Team (JSST) is geïnformeerd dat er een kritiek veiligheidsprobleem in de Joomla core zit.

Omdat dit een erg belangrijke veiligheidsupdate is, wordt iedereen aangeraden deze update komende donderdag uit te voeren.
Totdat deze update uitgebracht is, wordt er verder geen exacte informatie gegeven.

Zie het nieuwsbericht op Joomla Community: www.joomlacommunity.eu/nieuws/joomla-ver...ds-aankondiging.html
Engelstalige bron: www.joomla.org/announcements/release-new...ent-pre-release.html

ik kreeg vanmorgen het volgende bericht in mijn mailbox

Joomla! Security News
[20130407] - Core - XSS Vulnerability
[20130406] - Core - DOS Vulnerability
[20130401] - Core - Privilege Escalation
[20130404] - Core - XSS Vulnerability
[20130402] - Core - Information Disclosure
[20130403] - Core - XSS Vulnerability
[20130405] - Core - XSS Vulnerability
[20130407] - Core - XSS Vulnerability
Posted: 23 Apr 2013 10:00 PM PDT
Project: Joomla!
SubProject: All
Severity: Low
Versions: 2.5.9 and earlier 2.5.x versions. 3.0.3 and earlier 3.0.x versions.
Exploit type: XSS Vulnerability
Reported Date: 2013-April-17
Fixed Date: 2013-April-24
CVE Number: CVE-2013-3267
Description

Inadequate filtering leads to XSS vulnerability in highlighter plugin.

Affected Installs

Joomla! version 2.5.9 and earlier 2.5.x versions; and version 3.0.2 and earlier 3.0.x versions.

Solution

Upgrade to version 2.5.10, 3.1.0 or 3.0.4.

enz. enz.

Een beetje laat !

Ik kreeg deze ook en niet voor het eerst. Bij afzender staat Security Center ([email protected])

Onderaan staat Security Center ( developer.joomla.org/security-centre.html ).
Ik (en vele anderen) heb me ooit ingeschreven om Joomla Security berichten te krijgen.

Hoi adje. Ik kreeg dezelfde mail ook. Ik heb even navraag gedaan en dit is een mailing die per ongeluk de deur uit is gegaan. Er waren een aantal zaken niet goed ingesteld op een bepaalde server. Bij werkzaamheden is er een import van artikelen gedaan en door de foutieve instellingen is deze mail verstuurd.

Edit: overigens, ik ben dus ook geabonneerd op de nieuwsberichten en dit is de eerste keer dat het mij opviel dat een bericht of versie niet klopte.

Waarschijnlijk wel... blijkbaar zit er zoiets fout in de core dat de sites gelijk geupdate moeten worden. Hopelijk is de update zo 'kaal' mogelijk dat alleen de exploit gedicht wordt zodat er zo min mogelijk fout kan gaan met andere componenten! Ben wel beniewd of dit gevolgen gaat hebben voor oude 2.5 installs die niet meer gesupport worden maar nog talrijk draaien!

Ik heb even wat vet gemaakt wat een hint zou kunnen zijn waarom je donderdag zou moeten upgraden.

(Nederlandse tijd) wordt er een veiligheidsupdate voor Joomla uitgebracht:
Joomla versie 3.4.5.

Het Joomla Security Team (JSST) is geïnformeerd dat er een kritiek veiligheidsprobleem in de Joomla core zit.

Omdat dit een erg belangrijke veiligheidsupdate is, wordt iedereen aangeraden deze update komende donderdag uit te voeren. Totdat deze update uitgebracht is, wordt er verder geen exacte informatie gegeven.

Even serieus, hoe vaak is het voorgekomen dat er gemeld werd dat er een serieus veiligheidsupdate met een week aan zit te komen en dat je direct moet updaten?

Er wordt nu speciaal iets aangekondigd. Als mensen nu denken van "ik wacht wel een paar dagen", dat geeft alleen maar risico dat je snel gehackt kan gaan worden. Ik ken de bug niet maar ik heb wel een donkerbruin vermoeden dat het op moment dat de update uitkomt er personen gaan kijken wat de bug is, daar scriptjes voor gaan schrijven en het hele web gaan afscannen op niet bijgewerkte Joomla websites. Als ik zie hoeveel hits mijn niet echt bekende website al krijgt van scripts die exploits uitproberen...

En dan heb ik het niet alleen over exploits van Joomla zelf, maar meer van heel veel extensies die niet eens op mijn site geïnstalleerd zijn!

De mentaliteit van "ik wacht wel een paar dagen" geeft alleen maar risico dat je snel gehackt kan gaan worden.

Deze zin doet niet recht aan mijn beweegredenen, maar de boodschap is duidelijk, dank jullie.

Wellicht was ik niet duidelijk genoeg maar ik doelde niet specifiek op jou en heb het wat breder omschreven. Excuus als je het zo gelezen hebt.

Zover ik weet zit alleen de veiligheidspatch in 3.4.5, dit om zo min mogelijk kans op andere fouten (en dus herstelacties) te hebben.
Ja, je moet zo snel mogelijk updaten. Bij een eerder veiligheidslek in Drupal was de eerste hack-poging binnen 8 uur na het uitbrengen van de patch. Dit is ook de reden dat het zo vroeg bekend is gemaakt.
Indien je nu nog niet op 3.4.4 zit zou ik dat voor donderdag doen.
Zover ik weet zit het niet in 2.5, maar dit is de zoveelste waarschuwing om van 2.5 naar 3.x te migreren, waarbij ik 1.x niet eens meer noem.

Vraagje... komt hij gelijk ook hier te staan of alleen op joomla.org?