Heb jij Joomla! nieuws?

Vanuit diverse bronnen proberen wij je hier op de hoogte te houden van actueel Joomla! nieuws.
Heb je zelf ook nieuws over Joomla!, een Joomla! evenement, een nieuwe of bestaande extensie of wil je een Joomla!website promoten? Stuur dan je bericht (liefst met afbeeldingen) aan Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Wil je adverteren?

Wil je Joomla!NL steunen en adverteren met een banner op deze site? Kijk dan hier voor meer informatie of neem contact op met het PR-team van JoomlaNL.
Je kunt ons ook promoten door een gratis banner op je eigen site te plaatsen.

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!
Lees hier meer informatie

  • Startpagina

Beveiligingsprobleem uitgelegd: Ongeautoriseerd account aanmaken

beveiligingsprobleemOp dinsdag 25 oktober heeft het Joomla-team versie 3.6.4 vrijgegeven. Deze versie repareert twee kritieke beveiligingsproblemen. Waarom het heel belangrijk is om te updaten, leggen we je hieronder uit.

De geschiedenis van het beveiligingsprobleem

Door een bug die sinds introductie van Joomla 3.4.4 in het CMS zat, had een ongeautoriseerde bezoeker de mogelijkheid om een account aan te maken en daarbij een willekeurige gebruikersgroep (behalve de Super Gebruiker) te koppelen. Dit werkte zelfs als je op je website de accountregistratie had uitgeschakeld.

Simpel uitgelegd kwam het er op neer dat elke willekeurige hacker een Administrator-account op jouw website kon aanmaken (dus NIET een Super Gebruiker). Met behulp daarvan kon de inhoud van je website eenvoudig worden aangepast, maar met de standaard Joomla-beveiligingsinstellingen konden gelukkig geen malafide extensies worden geïnstalleerd.

Welke websites hadden hier last van?

Alle websites die draaiden op Joomla 3.4.4 tot en met 3.6.3

Moet jij je ook zorgen maken?

Jazeker! Als jij sinds het uitkomen van Joomla 3.6.4 nog niet bent gaan updaten en je hebt een website die draait met Joomla 3.4.4 tot en met 3.6.3, dan is jouw website dus ook een makkelijke prooi voor hackers. Ondanks dat de hacker geen Super Gebruiker-rechten kan krijgen, heeft de hacker wel voldoende rechten om functionele problemen te creëren of bijvoorbeeld malafide Javascriptcode op je website te plaatsen. Deze code kan vervolgens worden gebruikt om jouw websitebezoekers te hacken. In het uiterste geval kan een hacker jouw website hiermee bijvoorbeeld zo negatief beïnvloeden dat je zorgvuldig opgebouwde positie in zoekmachines keihard onderuit wordt gehaald.

 

Joomla 3.6.4 is vrijgegeven (repareert 2 kritieke beveiligingsproblemen)

tmp 5048 joomla 3 6 4 teaser1938950152

Op dinsdag 25 oktober is rond 16 uur Joomla 3.6.4 vrijgegeven. Dit is een veiligheidsuitgave  voor de 3.x serie van Joomla. Deze versie repareert twee kritieke veiligheidslekken en een bug fix voor two-factor authentication. Je wordt dringend aangeraden om je website(s) direct te updaten.
Deze versie bevat alleen de veiligheidsaanpassingen. Er zijn geen andere aanpassingen gedaan ten opzichte van Joomla 3.6.3

Wat zit er in 3.6.4 ?

Joomla 3.6.4 is vrijgegeven om twee gerapporteerde kwetsbaarheden te verhelpen en een bug betreffende two-factor authentication.
Gerepareerde veiligheidsproblemen

  • Hoge prioriteit - Core - Account aanmaken (betreft Joomla! 3.4.4 tot 3.6.3) Meer informatie »
  • Hoge prioriteit - Core - Elevated Privileges (betreft Joomla! 3.4.4 tot 3.6.3) Meer informatie »

Bug Fixes

  • [#12497] Two-Factor Authentication encryptie opgelost


Als er problemen worden gemeld over versie 3.6.4, dan worden die geplaatst in het (Engelstalige) overzicht op: Version 3.6.4 FAQ

Let op: Maak voordat je gaat updaten altijd eerst een volledige back-up van je website. Dus zowel de mappen en bestanden als ook de database.

Meer artikelen...