Joomla! 1.5 XML-RPC haavoittuvuus

Äskettäin julkaistusta Joomla! 1.5:sta on löydetty tietoturvaan liittyvä haavoittuvuus. Ongelma on XML-RPC Blogger API -liitännäisessä, joka mahdollistaa sivuston artikkeleiden muokkaamisen ja jopa poistamisen. Haavoittuvuus on jo korjattu ja se on ladattavissa Joomla! projektin käyttämästä SVN versionhallintajärjestelmästä. Mitä sitten pitää tehdä ennen kuin Joomla! 1.5.1 julkaistaan?

Kysymys: Miten korjaan haavoittuvuuden versiossa 1.5.0?
Vastaus: Varmista, että XML-RPC Blogger API -liitännäinen ei ole julkaistu, valitse Lisäosat -> Liitännäisesten hallinta -> XML-RPC -Blogger API
Huomaa: Oletusarvoisesti liitännäistä ei ole julkaistu, joten perusasetuksilla haavoittuvuutta ei voi hyödyntää.

Jos et ole käyttänyt kyseistä liitännäistä, ei tarvitse tehdä mitään. Keskustele aiheesta viestiketjussa Joomla! 1.5 XML-RPC haavoittuvuus .

Kohti versiota 1.5.1

Tietoturvakorjausten lisäksi on tulevassa 1.5.1 -versiossa korjattu myös muita asioita. Tärkeimmät asiat ovat:

1. Korjattu XML-RPC/Blogger tietoturva-aukko
2. Korjattu hakukoneystävällisiin URL-osoitteisiin liittyviä asioita.
3. Muutettu joukkopostitustoimintoa siten, että vastaanottajien osoitteet ovat piilokopiokentässä.
4. Korjattu päivämääräfunktio, josta johtuen artikkeleiden julkaisun loppupäivämäärä oli väärin joissakin järjestelmissä.
5. Korjattu UTF 8 tietokannan tunnistus.
6. Huomioitu joukko kielitukeen liittyviä asioita.
7. Korjattu useita pienempiä piirteitä.

Lue alkuperäinen artikkeli:

Security announcement for 1.5