Rilasciato aggiornamento per Joomla! 1.5.15

La nuova release di Joomla! 1.5.15 corregge due problemi di sicurezza:

Per quanto riguarda il primo problema: quando un utente con livello "Author" accede al backend di Joomla!, potrebbe modificare articoli scritti da altri.

Versioni sulle quali si potrebbe verificare tale tipo di attacco: tutte quelle precedenti alla 1.5.15, incluso Joomla! 1.5.14. E' fortemente consigliato l' immediato aggiornamento all' ultima versione.

Il secondo, invece, permetterebbe di rendere inaccessibili i files XML delle estensioni, in maniera tale che non sia possibile risalire alla versione utilizzata.

L'aggiornamento prevede anche tutta una serie di fix su Componenti, Moduli, Plugins, Templates, Files di Lingua, cartella Amministratore e cartella System. Nello specifico:

Componenti

Allowed search to use the Itemid of the current Menu Item (15780)
Removed unnecessary quotes in search results (16919)
Fixed problem when using relative URL's in editor with SEF enabled. (16445)
Fixed formatting problem in Category List layout with Internet Explorer (17110)
Fixed problem with entering HTML in user confirmation messages (17259)
Fixed Media Manager issues in Windows (17337)
Fixed problem with Archived Article filters when cache is enabled (17470)
Fixed RSS feed problem with ampersand in page title (18343)

Moduli

Allowed underscore character in menu names (16086)
Fixed problem with mod_newsflash and altenative read-more text (17231)
Fixed problem with Alias Menu Item Type not opening in new window (18240)
Fixed problem with UTF-8 characters in breadcrumbs (18493)

Plugins

Fixed problem with email cloaking and non-ASCII characters (11578)
Fixed TinyMCE configuration error (16982)
Fixed problem with multiple editor instances on one page (17043)
Fixed problem whereby TinyMCE stripped some image HTML (17057)
Fixed TinyMCE Extended Valid Elements problem (17121)
Fixed problem with TinyMCE blockquote (17215)
Allowed Firefox inline spell check to work in TinyMCE (17356)
Fixed problem saving changes in TinyMCE (17367)
Fixed TinyMCE problem with caption.js and filtering (17379)
Fixed TinyMCE bullet issue with Internet Explorer (17414)
Made image title names consistent in front and back end (17430)
Fixed issue with email cloaking and images (17692)
Fixed problem in email cloaking syntax (17964)
Fixed caption alignment when image alignment is not set (18010)
Fixed JavaScript error in TinyMCE (18192)
Added option to create templates in TinyMCE editor (18245)
Fixed problem with TinyMCE Sql (18246)
Fixed problem when using email cloaking and JavaScript (18310)
Fixed problem with email cloaking when using images (18481)

Templates

Fixed problem with missing template CSS files (16609)
Fixed problem with linked images in Beez template (16804)
Added default text color for backend error messages (16914)
Added missing spinner.gif (17432)
Fixed problem when copying Beez template to new name (17559)
Fixed error in JA_Purity template with Internet Explorer 8 (18070)

Language

Added TinyMCE Language file for Toggle Editor button (17332)
Added Ulaanbaatar in timezones (17577)
Fixed problem with localisation of pagination strings (17618)
Added missing Display # language string (18124)
Added missing com_media language strings (18349)
Improved tooltip text for mod_search (18518)
Fixed problem with version information for core languages (18522)

Administrator

Fixed problem with FTP fields auto-completing (18297)

System

Don't show password in configuration.php file (16484)
Fixed problem when Itemid does not exist (16927)
Fixed PHP 5.3 compatibility issues (17150)
Fixed problem with caching for com_weblinks and com_contact (17475)
Fixed additional PHP 5.3 compatibility issues (18008)
Fixed problem with warnings in system_config.php file (18054)
Added missing JEXEC checks in code (18080)
Fixed problem converting UTF-8 characters to ASCII (18142)
Added option to disallow users to view extension XML files (18353)
Fixed problem with onAfterDisplayTitle event and PHP 5.3 (18430)
Fixed problem with displaying error messages with right-to-left languages (18537)

Aggiornamento al file .htaccess di Joomla! 1.5.15

Nella seguente versione aggiornata di Joomla!, è stata apportata una modifica al file ".htacces". Scompattando la cartella compressa, è presente il file "htaccess.txt". Tale modifica riguarda una protezione sul file xml delle estensioni [Core - XML File Read Issue]. Tali files possono essere letti e fornire informazioni sulle versioni delle versioni installate. In questo modo si dà la possibilità a malintenzionati di poter sfruttare eventuali falle di sicurezza presenti nelle stesse stensioni di terze parti. Per poter rendere attivo anche questo aggiornamento, si deve decommentare il codice che, indicativamente, va dalla riga 34 alla riga 40 di "htaccess.txt". Si apra il file e si vada direttamente alla riga in cui il codice comincia con:

## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
## End of deny access to extension xml files

Per prima cosa ci si accerti che il mod_rewrite di Apache sia attivo sul server e decommentare le righe (eliminare il simbolo #) in maniera tale che la porzione di codice diventi:

## Deny access to extension xml files (uncomment out to activate)
<Files ~ "\.xml$">
Order allow,deny
Deny from all
Satisfy all
</Files>
## End of deny access to extension xml files

Coloro i quali hanno già attivato le funzioni SEO di Joomla! con la versione precedente (1.5.14) ed hanno rinominato il file in ".htaccess", procedere come segue:

se si desidera applicare la modifica riguardante la protezione sui files xml delle estensioni, modificare come descritto più su il nuovo file "htaccess.txt";
downlodare il vecchio file ".htaccess" nel proprio computer;
cancellare il file ".htaccess" presente in remoto;
uplodare il nuovo file "htaccess.txt" in remoto;
rinominarlo in ".htaccess"

Se nel vecchio file ".htaccess" sono state apportate modifiche in altre parti di codice, ripetere la stessa operazione nel nuovo.

E' tutto.

< Prec.		Succ. >

Aggiungi commento

JComments