Noch wird der Versionszweig 1.6 für Joomla unterstützt. Um eine Sicherheitslücke zu schließen ist deshalb nochmal ein Update erschienen!
Download zu Joomla 1.6.6 ist da!
Joomla 1.6 ist fast schon Geschichte. Es wird nur noch bis 19. August unterstützt, dann gibt es keinerlei Updates mehr. Spätestens bis dahin sollten alle Anwender der 1.6er Version zu Joomla 1.7 gewechselt haben.
Auf Grund einer Sicherheitslücke wurde jetzt aber tatsächlich nochmal eine Version nachgeschoben. Für viele Anwender wird dieses Versions-Wirrwarr sicher langsam etwas unübersichtlich. Aber Joomla 1.6 ist ja bald verschwunden.
Diese Sicherheits-Release ist also für Anwender von Joomla 1.7.0 überhaupt nicht relevant. Es wäre in jedem Fall Unsinnig, nicht gleich auf die aktuelle Version umzusteigen und jetzt noch dieses Update einzuspielen. Alle Erweiterungen für Joomla 1.6 dürften auch mit Joomla 1.7 laufen.
Wie so oft und nicht nur bei Joomla, handelt es sich wieder einmal um eine Cross Site Scripting-Lücke (XSS). Das könnte ein Angreifer ausnutzen, um Schadcode einzubringen.
Das Update enthält nur sehr geringe Änderungen in der Datei includes/application.php. Dort wurde an zwei Stellen htmlspecialchars zur Umwandlung von Sonderzeichen in HTML eingefügt.
Das ist in Zeile 177 und 182 bisher so gewesen:
$document->setBase(JURI::current());
Nach dem Update sieht es so aus:
$document->setBase(htmlspecialchars(JURI::current()));
Diese Umwandlung ist in Joomla 1.7 bereits enthalten. Betroffen sind alle Joomla-Versionen von 1.6.0 bis 1.6.5.
Natürlich könnte oben genannter Code auch manuell an die richtige Stelle eingefügt werden und man kann sich den Download sparen. Das dürfte dann wohl die letzte Meldung zu Joomla 1.6 gewesen sein.
