Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Mise à jour 3.4.5 en octobre, 3.4.6 mi-décembre et hoplà voici une 3.4.7 aujourd'hui …

On devrait se réjouir de la réactivité de notre CMS préféré, mais cela en devient presque irritant. A-t-on voulu réagir trop rapidement avec la 3.4.6, y a-t-il un manque de vision globale ? Dans tous les cas, même si la correction de failles est (très) appréciable, je pense qu'une telle succession de mises à jour est dommageable pour l'image de Joomla!.

Cela dit, merci pour votre travail !!!

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Je ne suis pas d'accord avec ta vision SuperVespa. Même si c'est "embêtant", les patch sont fondamentaux. Lorsqu'une faille, de plus déjà exploitée, est découverte, cela devient de l'extrème urgence. Et tant pis si quelques jours après, on refait un nouveau patch complémentaire. J'ai des hackers qui sont entrés sur un de mes sites. J'ai fait les comptes. Les bloquer et nettoyer, cela m'a coûté plus de 6.000 euro, sans compter les clients mécontents. (c'est la première fois que j'ai une douille parreille et j'espère la dernière). Donc, OUI aux patches rapides, même s'ils sont imparfaits.

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Bonjour à tous

J'ai été attaqué hier (sous J 3.4.5, mon hébergeur dit que le pirate envoie des spams via mon site, aucun conséquence sur mon site).

J'ai fait la MAJ 3.4.6 hier, mais sans changement, et mon hébergeur me dit qu'un composant tierce est en cause, que du code y aurait été injecté.

Qu'en pensez-vous ? La MAJ 3.4.7 est-elle liée à ce type de souci ?

Merci

### Joomla

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Problème : comme dit dans d'autres discussions, impossible de modifier un article, avec un message (sous Firefox, pas encore testé avec d'autres navigateurs) Idem avec Chrome.

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Mise à jour 3.4.7 effectuée.

Sur 1 site sur 2 même probléme que Robert, article non accessibles

Georgie : Si ton hébergeur te dit qu'il s'agit d'une extension à priori ça ne vient pas de Joomla ni de ses mises à jour. Regarde ce que tu as comme extension sur ton site et fais une recherche rapide sur chacune (version, pb déjà rencontré par qq'un autre ...)

Re : Joomla 3.4.7 est disponible -- mise à jour critique !




Merci pour ces patchs de sécurité, c'est très apprécié.

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Merci Tony ! C'était bien ça !

Le problème est que cet avertissement n'apparaissant pas lors de la mise à jour, il faut aller le chercher...

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Je ne suis pas un spécialiste, mais par expérience, appliquer le vaccin (patch sécurité) quand on est infecté, c'est nécessaire mais pas suffisant. Tes hackers ont vraisemblablement installés des troyans, des autres malware, du code à d'autres endroits, etc ... et tu es "parti" pour un nettoyage long et coûteux

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Bonjour à tous

Petit retour de mon hébergeur, qui pourra vous intéresser:

Il me confirme que la faille semble venir (venait ?) de Joomla lui-même, même si le hack passe ici par une extension précise.

Au sein de cette extension, le pirate a installé un fichier "user.php", qui plus est à un endroit ou ce fichier pouvait passer pour un fichier normal (administrator/components/com_mon_extension/tables/user.php). C'est ce fichier qui a servi a spammé.

Mais avant cela, le pirate a installé les fichiers suivants (des "shells php" me dit mon hébergeur, mais je n'y connais pas grand chose):
libraries/http-conf.php
libraries/simplepie.php
libraries/patch_ver_7041.php

De toute évidence c'est ici quelqu'un qui connait Joomjoom...

Enfin... j'ai appliqué la MAJ et supprimé les fichiers, grâce à mon hébergeur, mais en cas de doute peut-être vérifier que vous n'avez pas de tels fichiers présents dans vos sites...

Qu'en pensez-vous ?

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Bonjour à tous.
Mise à jour de 3 sites avec le problème signalé. Mes 3 sites utilisent GANTRY 4.1.29. Depuis les deux dernières maj, je ne peux plus enregistrer les modifications LAYOUTS de GANTRY et cela sur les 3 sites. Cela m'indique enregistré mais les modifs ne sont pas prises en compte. J'ai pensé à vider les différents caches. Le problème persiste.
Si vous avez une p'tite idée, je suis preneur...
A bientôt

PS : en complément, le bouton Force-Position fonctionne en position off ou on.

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Bonsoir,
je viens de mettre 2 sites à jour avec la 3.4.7, je ne peux plus créer de nouveaux modules !!

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

hELLO

Suite mise à jour sur installé 3.4.6 neuve j'ai un composant pk FR-Fr o0

Solution : désinstaller le package de langue FR et le réinstaller

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Bonjour

Je pense que ton hébergeur (plutôt l'employé du helpdesk de ton hébergeur) est bien présomptueux.

J'ai un peu (beaucoup) d'expériences en sites hackés vu que j'en nettoie par paquet et je puis te certifier qu'à chaque fois, ce n'est pas Joomla qui est mis à mal mais une extension tierce. D'ailleurs, tu le dis toi-même en précisant "le hack passe ici par une extension précise.".

Si j'ai une maison très bien sécurisée mais que j'invite un maçon à venir me faire une petite extension à front de rue et juste une porte en papier; qui est le responsable ? Mon entrepreneur ou le maçon ?

Une fois ton site pénétré, les hackeurs planquent des fichiers à de multiples endroits et modifient des fichiers sains en y injectant du code vérolé. Seul un scan profond du site peut tout mettre en évidence. Pour les fichiers modifiés la solution est simple : tu remets un Joomla propre par-dessus et tu remets une par une toutes tes extensions (y compris templates).

Pour les fichiers additionnels, zéro solution si ce n'est de les trouver et de les supprimer. Un technique : tu vires tout ton site à l'exception de tes fichiers images, media, ... et tu remets des fichiers propres comme expliqué dans le paragraphe ci-dessus puis, tu scannes tes dossiers conservés (images, media, ...) pour, fichier par fichier, vérifier que tout est bien correct (p.ex. pas de scripts php dans /images; enfin, à priori).

Bon nettoyage.

Re : Joomla 3.4.7 est disponible -- mise à jour critique !

Salut manu33,

Il faut se déconnecter et se reconnecter après la mise à jour 3.4.7, sinon tu ne peux plus ajouter des contenus (articles, modules, …).