Voici les dernières nouveautés avec les patchs de sécurité au niveau du noyau (Remote File Inclusion et Denial of Service) :
http://www.joomla.org/announcements/release-news/5567-joomla-3-3-5-released.html
Il est donc important de suivre les prochains communiqués des éditeurs logiciels afin d’adopter la bonne marche à suivre, comme il est également recommandé dans cet article en Anglais https://www.akeebabackup.com/home/news/1605-security-update-sep-2014.html
En effet, le comble, c’est quand l’équipe de développement du CMS annonce via sa page Facebook qu’il n’est pas recommandé d’installer ou mettre à jour les versions 3.3.5 et 2.5.26, je cite et traduis de "It is not recommended to install or update to 3.3.5. and 2.5.26", à cause du mode de mise à jour qui sera utilisé pour la nouvelle version (ces patchs de sécurité prioritaires étant bien sûr temporaires). Les utilisateurs qui auraient patché leurs versions sujettes aux vulnérabilités devront en effet passer par l’Extension Manager.
A noter qu’il semble quand même exister des effets de bord, car certains se plaignent sur Facebook de bugs suite au patch : "Warning You do not have access to the administrator section of this site."
Source Facebook : https://www.facebook.com/joomla/posts/10152537013104667
A noter : Joomla ! 2.5.27 et 3.3.6 sont sorties hier. Il est donc recommandé de suivre les instructions et de mettre à jour vos installations avec ces dernières versions plutôt que d’utiliser les correctifs de sécurité (qui de toutes façons devraient être à leur tour remplacés par ces updates). OUF !
Belle réactivité de la team Joomla ! qui, en cette époque de grande compétition avec les autres CMS du marche comme WordPress ou Drupal, se doit de ne pas se reposer sur ses lauriers. Mais à sa décharge, les failles de vulnérabilités de Worpress ne manquent pas non plus, comme les lecteurs fidèles au réseau Dumac l’auront sans doute remarqué depuis longtemps !
Faille WP Mailpoet http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=171
Injection de code et faux antivirus sur WP : http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=151
Malware conditionnel WP http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=172
Codes malicieux dans les plugins WP http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=168
Attaque WP par injection de code http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=165
Etc
Rappelons que ces vulnérabilités peuvent être mises à profit par tous types d’organisations et d’attaquants, avec des buts pouvant être très différents, mais en tous cas s’avérant toujours très dommageables pour le site attaqué, qui risque de se voir déclassé ou interdit de visite si Google détecte le programme malicieux, ou bien qui risque d’infecter vos propres visiteurs, ou de voler des informations stockées dans votre base de données, etc.
Il faut, enfin, garder à l’esprit que ces annonces de vulnérabilités ne mettent aucunement à l’abri de failles sur lesquelles aucune communication n’est faite. Pour en savoir plus sur les CMS, leur types, leurs utilisations, avantages et inconvénients, etc, consultez cette page rédigée par un consultant internet indépendant (omnireso) : http://www.omnireso.com/cms.php