Faille de sécurité du CMS Joomla

02.10.2014 | Réseau Dumac
1414 visiteurs  -  Aucun commentaire
Les derniers patchs de sécurité du CMS Jommla (3.3.5, 3.2.6 et 2.5.26) ne semblent pas satisfaisants et l’équipe de développement du CMS demande aux utilisateurs de ne pas mettre à jour leur version !

Joomla ! 3.3.5

Voici les dernières nouveautés avec les patchs de sécurité au niveau du noyau (Remote File Inclusion et Denial of Service) :

http://www.joomla.org/announcements/release-news/5567-joomla-3-3-5-released.html

Il est donc important de suivre les prochains communiqués des éditeurs logiciels afin d’adopter la bonne marche à suivre, comme il est également recommandé dans cet article en Anglais https://www.akeebabackup.com/home/news/1605-security-update-sep-2014.html

Joomla ! 2.5.26

En effet, le comble, c’est quand l’équipe de développement du CMS annonce via sa page Facebook qu’il n’est pas recommandé d’installer ou mettre à jour les versions 3.3.5 et 2.5.26, je cite et traduis de "It is not recommended to install or update to 3.3.5. and 2.5.26", à cause du mode de mise à jour qui sera utilisé pour la nouvelle version (ces patchs de sécurité prioritaires étant bien sûr temporaires). Les utilisateurs qui auraient patché leurs versions sujettes aux vulnérabilités devront en effet passer par l’Extension Manager.

A noter qu’il semble quand même exister des effets de bord, car certains se plaignent sur Facebook de bugs suite au patch : "Warning You do not have access to the administrator section of this site."

Source Facebook : https://www.facebook.com/joomla/posts/10152537013104667

Nouvelles versions de Joomla !

A noter : Joomla ! 2.5.27 et 3.3.6 sont sorties hier. Il est donc recommandé de suivre les instructions et de mettre à jour vos installations avec ces dernières versions plutôt que d’utiliser les correctifs de sécurité (qui de toutes façons devraient être à leur tour remplacés par ces updates). OUF !

Belle réactivité de la team Joomla ! qui, en cette époque de grande compétition avec les autres CMS du marche comme WordPress ou Drupal, se doit de ne pas se reposer sur ses lauriers. Mais à sa décharge, les failles de vulnérabilités de Worpress ne manquent pas non plus, comme les lecteurs fidèles au réseau Dumac l’auront sans doute remarqué depuis longtemps !

-  Faille WP Mailpoet http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=171

-  Injection de code et faux antivirus sur WP : http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=151

-  Malware conditionnel WP http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=172

-  Codes malicieux dans les plugins WP http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=168

-  Attaque WP par injection de code http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=165
-  Etc

En savoir plus sur les CMS et la sécurité

Rappelons que ces vulnérabilités peuvent être mises à profit par tous types d’organisations et d’attaquants, avec des buts pouvant être très différents, mais en tous cas s’avérant toujours très dommageables pour le site attaqué, qui risque de se voir déclassé ou interdit de visite si Google détecte le programme malicieux, ou bien qui risque d’infecter vos propres visiteurs, ou de voler des informations stockées dans votre base de données, etc.

Il faut, enfin, garder à l’esprit que ces annonces de vulnérabilités ne mettent aucunement à l’abri de failles sur lesquelles aucune communication n’est faite. Pour en savoir plus sur les CMS, leur types, leurs utilisations, avantages et inconvénients, etc, consultez cette page rédigée par un consultant internet indépendant (omnireso) : http://www.omnireso.com/cms.php

Derniers Commentaires

Articles récemment mis à jour

Too Cool for Internet Explorer

Reseau Dumac : le site des anciens étudiants du diplôme universitaire média interactif et ses applications est motorisé par le logiciel libre Spip 1.8.3 associé au squelette graphique BliP 0.91

17 rubriques ... 176 articles ... 2 commentaires ... 63 sites référencés ... 7 visiteurs par jour (133270 au total)

Haut de page | XHTML 1.0 | CSS 2