Die aktuelle Version Joomla 1.6.4 behebt diverse Sicherheitslücken und steht ab sofort hier zum Download bereit.
Joomla 1.6.4 wurde veröffentlicht!
Das Joomla-Projekt hat die Veröffentlichung von Joomla 1.6.4 bekannt gegeben. Bei der aktuellen Version handelt es sich um eine Sicherheits-Release.
Mit dieser aktuellen Release werden vier Sicherheitsprobleme korrigiert. Außerdem wurde ein Problem behoben, welches sich auf die Upgrades von Versionen bezieht.
Zu den vier Problemen zählen Cross-Site-Scripting Lücken. Unautorisierter Zugriff war möglich. Ein Angreifer könnte so an Informationen gelangen, die ihm nicht zugänglich sein sollten.
Es ist bereits Joomla 1.7 als Download auch hier zu haben. Allerdings ist diese Version noch in der Alpha-Phase und sollte nicht für produktive Zwecke eingesetzt werden.
Die stabile Version soll im Juli herausgebracht werden und steht dann natürlich auch hier zum Download bereit. Wer ein Upgrade von Joomla 1.6 nach Joomla 1.7 machen möchte, sollte unbedingt die Version 1.6.4 vorher installiert haben.
Die Sicherheits-Fixes wurden vorgenommen für die Kategorie-Listen-Layouts für Artikel, Kontakte, Newsfeeds und Weblinks, sowie auch die Hauptkontakt-Liste. In der englischen Bezeichnung wären das articles, contacts, newsfeeds, weblinks und Featured Contact list.
Falls jemand Layout Overrides für diese Bereiche in seinem Template erstellt hat, muss er die Sicherheit selbst herstellen, weil diese Dateien ja nicht durch ein Upgrade verändert werden.
Wer sich nicht sicher ist und ein Template für Joomla 1.6 verwendet, sollte mal nach dem Ordner "html" innerhalb des Template-Verzeichnisses suchen. Dort stehen eventuell solche Overrides drin.
Das Problem betrifft nicht unbedingt nur Templates. Auch bei Erweiterungen können Sicherheitsrisiken gegeben sein, seit die Core-Layouts teilweise als Models genutzt werden.
Bei allen Ahadesign-Templates treten überhaupt keine Risiken auf, obwohl teilweise dieser HTML-Ordner vorhanden ist.
Hier nun eine kleine Auflistung, was alles geändert wurde, damit Entwickler und Anwender darauf reagieren können.
Es wurde JfilterOutput:ampReplace durch htmlspecialchars ersetzt. Die folgenden Dateien sollten geändert werden:
-
components/com_contact/views/category/tmpl/default_items.php
-
components/com_contact/views/featured/tmpl/default_items.php
-
components/com_contact/views/category/tmpl/default_articles.php
-
components/com_newsfeed/views/category/tmpl/default_items.php
-
components/com_weblinks/views/category/tmpl/default_items.php
Achtung, auch im Standard-Template Beez sollte eine Änderung vorgenommen werden. Das betrifft hier den Ordner templates/beez5/com_contact/category/default_articles.php
Alle Joomla 1.6 Anwender sollten diese neue Version natürlich so schnell wie möglich installieren, um Risiken aus dem Wege zu gehen.
Von dem Problem sind alle Joomla-Versionen bis 1.6.3 betroffen.
Leider ist bisher noch keine deutsche Version vorhanden. Sobald diese verfügbar ist, wird sie natürlich sofort ebenfalls hier im Downloadbereich erhältlich sein. Allerdings hat sich an der Sprache ja nichts geändert. Somit kann ein Upgrade ohne Probleme auch mit der englischen Version durchgeführt werden.
