De laatste weken zijn er verschillende berichten op internet verschenen over Joomla 3.7 en hoe de uiteindelijke versie er uit komt te zien. Zonder dat er al een alpha-versie is vrijgegeven is het nog moeilijk om al iets over de details te vermelden. Maar dit artikel moet enige duidelijkheid geven.
Er is een planning gemaakt voor het uitkomen van Joomla 3.7, waarbij moet worden aangegeven dat deze planning afhankelijk is van de vrijwilligers en de ondersteuning vanuit de gebruikers. Maar zoals het er nu naar uitziet is de onderstaande planning uitvoerbaar:
Op dinsdag 25 oktober heeft het Joomla-team versie 3.6.4 vrijgegeven. Deze versie repareert twee kritieke beveiligingsproblemen. Waarom het heel belangrijk is om te updaten, leggen we je hieronder uit.
De geschiedenis van het beveiligingsprobleem
Door een bug die sinds introductie van Joomla 3.4.4 in het CMS zat, had een ongeautoriseerde bezoeker de mogelijkheid om een account aan te maken en daarbij een willekeurige gebruikersgroep (behalve de Super Gebruiker) te koppelen. Dit werkte zelfs als je op je website de accountregistratie had uitgeschakeld.
Simpel uitgelegd kwam het er op neer dat elke willekeurige hacker een Administrator-account op jouw website kon aanmaken (dus NIET een Super Gebruiker). Met behulp daarvan kon de inhoud van je website eenvoudig worden aangepast, maar met de standaard Joomla-beveiligingsinstellingen konden gelukkig geen malafide extensies worden geïnstalleerd.
Welke websites hadden hier last van?
Alle websites die draaiden op Joomla 3.4.4 tot en met 3.6.3
Moet jij je ook zorgen maken?
Jazeker! Als jij sinds het uitkomen van Joomla 3.6.4 nog niet bent gaan updaten en je hebt een website die draait met Joomla 3.4.4 tot en met 3.6.3, dan is jouw website dus ook een makkelijke prooi voor hackers. Ondanks dat de hacker geen Super Gebruiker-rechten kan krijgen, heeft de hacker wel voldoende rechten om functionele problemen te creëren of bijvoorbeeld malafide Javascriptcode op je website te plaatsen. Deze code kan vervolgens worden gebruikt om jouw websitebezoekers te hacken. In het uiterste geval kan een hacker jouw website hiermee bijvoorbeeld zo negatief beïnvloeden dat je zorgvuldig opgebouwde positie in zoekmachines keihard onderuit wordt gehaald.
Op dinsdag 25 oktober is rond 16 uur Joomla 3.6.4 vrijgegeven. Dit is een veiligheidsuitgave voor de 3.x serie van Joomla. Deze versie repareert twee kritieke veiligheidslekken en een bug fix voor two-factor authentication. Je wordt dringend aangeraden om je website(s) direct te updaten. Deze versie bevat alleen de veiligheidsaanpassingen. Er zijn geen andere aanpassingen gedaan ten opzichte van Joomla 3.6.3
Wat zit er in 3.6.4 ?
Joomla 3.6.4 is vrijgegeven om twee gerapporteerde kwetsbaarheden te verhelpen en een bug betreffende two-factor authentication. Gerepareerde veiligheidsproblemen
Hoge prioriteit - Core - Account aanmaken (betreft Joomla! 3.4.4 tot 3.6.3) Meer informatie »
Hoge prioriteit - Core - Elevated Privileges (betreft Joomla! 3.4.4 tot 3.6.3) Meer informatie »
Op dinsdag 25 oktober 2016 rond 14.00 uur UTC komt Joomla 3.6.4 beschikbaar. Deze versie bevat de reparatie van een kritisch beveiligingsprobleem.
Het Joomla Security Strike Team (JSST) is geïnformeerd over een kritisch beveiligingsprobleem in de Joomla!-basis. Omdat het hier gaat om een zeer belangrijke veiligheidsreparatie, wordt iedereen aangeraden om dinsdag beschikbaar te zijn om direct de Joomla!-update te kunnen uitvoeren. Het Joomla!-team vraagt er begrip voor dat ze, totdat de patch is vrijgegeven, geen informatie over het veiligheidsprobleem kunnen verstrekken.
Op dinsdag 25 oktober heeft het Joomla-team versie 3.6.4 vrijgegeven. Deze versie repareert twee kritieke beveiligingsproblemen. Waarom het heel belangrijk is om te updaten, leggen we je hieronder uit.
