Lek in VM 2.6.8

Geachte,

Via een nieuwsbericht op jullie facebookpagina, die naar het volgende artikel verwijst: blog.sucuri.net/2014/09/security-advisor...mart-for-joomla.html

Vraag ik me af of er al wat meer technische specificaties bekend zijn. Wij gebruiken momenteel versie 2.6.8 en zouden graag een lijst van corebestanden zien die aangepast dienen te worden.

Heeft iemand hier al wat meer over gehoord?

Mvg,

Martijn

Hallo Martijn,

Namens het Joomla!NL team heet ik je van harte welkom op dit forum.

Technische specificaties worden denk ik niet vrijgegeven om hackers niet op nog meer ideeën te brengen. Snelste oplossing is om gewoon te upaten naar VM 2.6.10, dan is je site weer veilig. Je moet sowieso altijd zorgen dat je extensies up-to-date zijn, dus ik vind je vraag een beetje vreemd.

Dag Astrid,

Bedankt voor je snelle reactie. Eens, wij zijn vrijwel altijd op tijd met updaten. Met dit project echter was er sprake van een strakke deadline, en een groot arsenaal aan wensen. Helaas hebben wij hier dus wat corebestanden voor moeten aanpassen(alleen in uiterste gevallen, dit proberen wij altijd te vermijden). Het updaten naar de meest recente versie doet al deze aanpassingen teniet.

Uit het bericht wordt duidelijk dat de methode bind en save kwetsbaar zijn binnen JUser. De Methode save hebben wij zelf aangepast, maar de save methode van Virtuemart zelf is niet zo heel erg spannend behalve dat deze wat extra data vast legd betreffende extra klantgegevens. Ik vind het vreemd dat via deze methode, een superuser aangemaakt kan worden. Dit is namelijk specifiek voor Joomla en niet VM. Mijn vraag is dus, welke aanpassingen zijn er getroffen op de Bind en Save methode van de JUser. In het model in de admin folder kon ik namelijk niet veel spannends vinden.

Dit is een algemeen Joomla forum dat zich richt op het gebruik van Joomla en Joomla-componenten en niet op codering hiervan. Dus als je dat per se wilt weten, dan zou je je vraag kunnen stellen aan de makers van VM of Joomla zelf.

En ik zou er toch voor zorgen dat het woordje "vrijwel" verandert in "altijd".

Helaas, ik zag jullie het nieuwsbericht delen dus hoopte ik dat jullie wellicht wat meer wisten. We doen absoluut ons best om altijd en overal up to date te zijn. Maar als ervaringsdeskundige moet jij toch weten dat dit niet altijd haalbaar is

In ieder geval bedankt! Ik zoek weer even verder.
Edit Astrid:Link verwijderd. Conclusie gebaseerd op aanname.

Beste mrwebsites,
Zoals Astrid al aangaf zijn wij een onafhankelijke site die Joomla!gebruikers ondersteund op basis van "Gebruikers helpen gebruikers".
Gisteravond las ik op één van de nieuwsbronnen die ik volg mbt Joomla! dat op de website van Sucuri nieuws werd gepubliceerd over dit lek.
Er was in de Joomla!-wereld direct commotie over het feit dat de ontwikkelaars van VirtueMart er niets over op hun eigen site wilden uitleggen.
Er kwam een reactie van VirtueMart. Zij gaven aan dat het hun beleid was om hier niet breed mee naar buiten te treden.

Omdat ik wel het idee had dat dit belangrijke informatie was voor alle gebruikers van VM heb ik het gisteravond via ons Twitter- en Facebook-kanaal gedeeld.
Gelukkig heb jij het ook gezien en kun je er op je site(s) actie op ondernemen door VM te updaten naar 2.6.10.

Blijf ons volgen. We proberen de Joomla!-gebruikers zo goed mogelijk te informeren over wat er in de (internationale) Joomla!-wereld speelt.