JoomlaDagen Nederland - 31 maart t/m 2 april 2017, Zeist

Heb jij Joomla! nieuws?

Vanuit diverse bronnen proberen wij je hier op de hoogte te houden van actueel Joomla! nieuws.
Heb je zelf ook nieuws over Joomla!, een Joomla! evenement, een nieuwe of bestaande extensie of wil je een Joomla!website promoten? Stuur dan je bericht (liefst met afbeeldingen) aan Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Wil je adverteren?

Wil je Joomla!NL steunen en adverteren met een banner op deze site? Kijk dan hier voor meer informatie of neem contact op met het PR-team van JoomlaNL.
Je kunt ons ook promoten door een gratis banner op je eigen site te plaatsen.

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!
Lees hier meer informatie

  • Startpagina

Extensies op de JED moeten de Joomla-updater gebruiken

joomla updaterOntwikkelaars van Joomla-extensies bieden deze aan op hun eigen website en ook op de JED (Joomla Extensions Directory). Extensies die daar worden geplaatst, moeten aan bepaalde eisen voldoen voordat ze daar worden gepubliceerd. Ze moeten bijvoorbeeld minimaal geschikt zijn voor Joomla 3.x en er mogen geen back-links inzitten naar de website van de ontwikkelaar.

We hebben al eerder via Twitter een bericht geplaatst dat er op 10 januari 2017 weer een regel aan die eisen zou worden toegevoegd. Op deze dag is namelijk de eis van kracht geworden dat alle extensies de updater van Joomla moeten gebruiken.

Hierdoor krijg je als websitebeheerder een bericht wanneer er een update voor een extensie beschikbaar is die op de website is geïnstalleerd. Doordat er direct een melding wordt getoond als er een nieuwe versie beschikbaar is, wordt daarmee de veiligheid van de website verhoogd. Vaak worden updates namelijk uitgebracht om een kwetsbaarheid op te lossen.

Vanaf 10 januari 2017 worden alle extensies op de JED gecontroleerd of ze zijn voorzien van de update-functionaliteit. Het meest recente zip-bestand dat daar is geupload wordt gecontroleerd. De foutcode die gebruikt wordt als een extensie niet voldoet is: US1 - update sites not present in xml file.


jed reminder 2017Ontwikkelaars moeten er dus voor zorgen dat ze hun meest recente versie die is voorzien van de updater-functionaliteit uploaden naar de JED.
Extensies die nu al in de JED staan zullen daar niet worden verwijderd. Als je op de downloadknop klikt, dan verschijnt er een pop-up, zoals hiernaast is te zien. Daarin wordt aangegeven dat de extensie geen update-servers ondersteunt en dat de extensie dus handmatig geupdate moet worden. Deze melding staat ook onder de download-knop.

De (Engelstalige) aankondiging van deze regel is te vinden via deze link: http://extensions.joomla.org/support/knowledgebase/item/joomla-update-system-requirement
En meer (Engelstalige) informatie over update-servers is te vinden via deze link: https://docs.joomla.org/Deploying_an_Update_Server

Kwetsbaarheid in PHPMailer (geen direct gevaar binnen Joomla!)

phpmailerOp dinsdag 27 december 2016 is er een kwetsbaarheid ontdekt in PHP Mailer.
Deze toepassing wordt ook gebruikt in de core van Joomla.
Het Joomla Security Strike Team (JSST) heeft onderzocht dat het in combinatie met de PHP Mailer van Joomla geen kwetsbaarheid is bij normaal gebruik.
Er is direct aangegeven dat de Joomla-gebruikers er niets aan hoeven te doen, maar dat ontwikkelaars er wel aandacht voor moeten hebben bij het onderhoud van hun extensies.
Het betreft hier de extensies die gebruik maken van een externe PHP Mailer-functie vanuit hun eigen extensie.

Een update van de library zal worden meegenomen in Joomla 3.7
De kwetsbaarheid zit in de versies Joomla 1.6.0 tot en met 3.6.5.

Inmiddels zijn er al wel enkele actieve hostingproviders die met behulp van Patchman een aanpassing doen om deze kwetsbaarheid op voorhand al te repareren.
Ook Wordpress maakt gebruik van phpmailer.php en daarom worden ook die sites door Patchman aangepast.


Meer informatie is te vinden op: https://developer.joomla.org/security-centre/668-20161205-phpmailer-security-advisory.html

Update per 28 december:
Er zijn de afgelopen dagen twee verbeteringen van PHPMailer uitgebracht door de makers ervan.
Daardoor kan het zijn dat Patchman van de providers vandaag opnieuw een bericht stuurt dat er een beveiligingslek is gevonden en eventueel gerepareert.


Welke extensies hebben PHPMailer zelf ingeprogrammeerd?

Op Joomla.org wordt een vulnerabillity-lijst bijgehouden van extensies met een kwetsbaarheid.

Chronoforms
Daaruit blijkt dat Chronoforms 5.0.12 een eigen PHP Mailer bevat waarvan is geconstateerd dat die kwetsbaar is.
https://vel.joomla.org/resolved/1905-chronoforms-5-0-12-php-mailer-vulnerabilityEr is inmiddels een update voor beschikbaar (Chronoforms 5.0.13):
https://www.chronoengine.com/forums/posts/t102804/p363944/phpmailer-library.html

AcyMailing
Ook in AcyMailing werd een eigen PHPMailer gebruikt. Update daarom deze extensies naar versie 5.6.1
https://www.acyba.com/68-acymailing-changelog.html

 Joomres
Ook Jomres heeft de PHPMailer zelf ingebouwd en daaromm moet deze extensie worden geupdate naar versie 9.8.22
https://www.jomres.net/support/changelog

 

Meer artikelen...