Proposer une solution

Mise à jour de sécurité critique pour Joomla! 3.6.5

14/12/2016
logo joomla!

Le gestionnaire de contenus open source Joomla ! se met à jour pour combler une faille de sécurité critique.

Cette mise à jour concerne trois vulnérabilités et quelques corrections de bugs. Elle n’apporte aucune nouvelle fonctionnalité depuis la version 3.6.4, mais son adoption est très fortement recommandée en remplacement de toute version de la branche 3.x.

Une faille affectant de très anciennes versions

Le première et plus critique des vulnérabilités prises en charge par cette nouvelle version concerne toutes les versions de Joomla ! depuis la version 1.6.0. Cette faille CVE-2016-9838 permet une modification du nom d’utilisateur, du mot de passe et élévation des privilèges de l’utilisateur existant via l’utilisation non filtrée de données dans un formulaire.

Deux vulnérabilités moins critiques

Deux autres failles sont comblées par cette mise à jour, avec une criticité moindre : la  CVE-2016-9837 qui permettait à un utilisateur d’accéder à du contenu non autorisé via le thème Beez3 et la CVE-2016-9836qui permettait le téléversement de fichiers PHP alternatifs pour les extensions.

Renforcement de la sécurité

L’équipe en charge de la sécurité du gestionnaire de contenus a opéré quelques modifications pour renforcer la sécurité de la solution. Notamment la possibilité pour l’utilisateur de potentiellement endommager les changements de configuration a été restreinte. Il n’est par exemple plus possible de donner aux groupes des utilisateurs invités ou au groupe des nouveaux utilisateurs enregistrés des privilèges de super utilisateur. Certaines fonctions de l’API Joomla ! ont aussi été modifiés : Juser::authorise() ne retournera dorénavant qu’une valeur booléenne et supprime la possibilité d’une valeur de retour de type null.

Cette nouvelle version s’accompagne de la correction de trois bugs mineurs.

Source : www.joomla.org

Solutions

comments powered by Disqus

Les dernières actualités

top
Guide Os
Voir toutes les actualités Actualités #Guideoss
  • 16/12/2020

    Le moteur Docker disponible en version 20.10

    La nouvelle version majeure de Docker Engine ajoute de nombreuses nouvelles fonctionnalités, dont la prise en charge des cgroups V2, et nombreuses fonctionnalités de la version expérimentale.

    Lire la suite
  • 15/12/2020

    Les nouveautés de Drupal 9.1

    Sortie au début du mois, la nouvelle évolution du gestionnaire de contenu libre Drupal embarque quelques changements notables. La prise en charge de PHP 8 entraine aussi quelques modifications techniques.

    Lire la suite
  • 07/12/2020

    KOGITO 1.0 pour la gestion des processus métier

    La notre plateforme d'automatisation dans le nuage pour les entreprises franchit une étape importante avec la publication de la version 1.0. Cette mise à jour apporte de nouvelles fonctionnalités dans la génération des codes et la reprise à chaud.

    Lire la suite
  • 04/12/2020

    OroCommerce intègre Elastic Suite, grâce à Smile !


    Fort de 6 ans d’expérience sur la personnalisation du catalogue et l’optimisation de la recherche produits, l’équipe R&D Smile a étendu son module phare Elastic Suite à la plateforme OroCommerce. Basé sur le très puissant moteur de recherche Elastic Search, le module éprouvé auprès de plus de 1 200 marchands était jusque-là un des modules les plus utilisés de l’écosystème Magento avec 575 000 téléchargements dans le monde.

    Lire la suite