Joomla 3.8.4 disponible

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Joomla 3.8.4 disponible

    Bonjour,

    La version 3.8.4 vient de sortir.

    Elle contient 4 corrections de failles de sécurité, minimes, mais, quand même corrigées... et un douzaine de bugs corrigés (voir en anglais pour l'instant : https://www.joomla.org/announcements...4-release.html).

    Bonne fin de journée,

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

  • #2
    Bonsoir,

    Il y a une des failles de sécurité qui a été corrigée au niveau des templates standards et qu'il convient de vérifier au niveau de vos templates:

    Module Chromes (CVE-2018-6380)

    This patch is fixing a longstanding issue with the module Chrome where the module_tag parameter in the system and Protostar template lack escaping which could lead to a XSS attack. This issue is fixed in Joomla 3.8.4 but only for the core templates. Please contact your template provider so they can check the corresponding module Chromes.
    Autrement dit, regardez dans le fichier modules.php qui est dans le répertoire html de votre template, s'il existe.

    Dans les fonctions "chrome", regardez celles qui contiennent &$params (cela signifie que params est en lecture/écriture) et vérifiez que tous les appels à $params dans votre fonction sont bien inclus dans un htmlspecialchars.

    En regardant dans le fichier modules.php de beez3 ou de protostar, vous verrez, par exemple,
    Code:
    htmlspecialchars($params->get('moduleclass_sfx'), ENT_COMPAT, 'UTF-8')
    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Bonjour,

      En mettant à jour les templates que j'utilise, j'ai constaté qu'il n'y a pas que $params qui est appelé en lecture/écriture, il y a aussi $attribs.

      Donc, si vous contactez votre fournisseur de templates, n'oubliez pas de lui préciser que la faille touche aussi bien $params que $attribs.

      Pascal
      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

      Commentaire


      • #4
        Bonjour Pascal.

        J'ai un template créé avec Template creator CK 3 qui contient ces lignes p.ex.

        $bootstrapSize = (int) $params->get('bootstrap_size', 0);

        // Temporarily store header class in variable
        $headerClass = $params->get('header_class');

        Sont-elles concernées par ce htmlspecialchars ?
        Cordialement.
        __
        Eddy !!!
        Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

        Commentaire


        • #5
          Bonjour Eddy,

          Il faut regarder la fonction dans laquelle tu as trouvé ton code.

          Si la fonction contient un ou plusieurs paramètres sous la forme &$... au lieu de $...., il faut sécuriser les $params, car les paramètres peuvent être mis à jour et renvoyés à ton site avec du code non sécurisé.

          Cependant, en regardant comment sont appelées les fonctions "chrome" (dans librairies/src/Helper/ModuleHelper.php), je vois mal comment le code "suspect" pourra être interprété (même chose pour $attribs) car l'appel aux fonctions se fait avec des $params et $attribs, donc les variables ne seront pas mises à jour.

          Comme signalé sur l'alerte, il s'agit d'un risque mineur.

          Pascal
          If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

          Commentaire


          • #6
            Ok, je vois.

            Merci pour l'info. Belle journée.
            Cordialement.
            __
            Eddy !!!
            Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

            Commentaire


            • #7
              tiens déjà une 3.8.5 accessible
              Cordialement Denis
              Utilsateur de Joomla - virtuemart etc...
              Le partage du savoir fait avancer plus vite !
              www.weborganisation.com - www.commequiers.com

              Commentaire


              • #8
                Yes, c'est une version qui fixe le souci de connexion en frontend (entre autre ...)
                Dernière édition par manu93fr à 07/02/2018, 00h14
                Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
                Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

                Commentaire


                • #9
                  ok, merci "manu93fr"
                  je vais mettre a jour les sites associatifs de ma commune et attendre le prochain fil pour y poster d'éventuelles remontées.
                  @+
                  Cordialement Denis
                  Utilsateur de Joomla - virtuemart etc...
                  Le partage du savoir fait avancer plus vite !
                  www.weborganisation.com - www.commequiers.com

                  Commentaire

                  Annonce

                  Réduire
                  Aucune annonce pour le moment.

                  Partenaire de l'association

                  Réduire

                  Hébergeur Web PlanetHoster
                  Travaille ...
                  X