Skip to Content | Skip to Menus | Copyright?

Accesibility

Myfia On The Web
Beta Version

Myfia Notes

What new in Riesurya dot com?
Disinilah tempat bernaung, bekerja dan menulis (mumpung di blog sendiri, gak ada yang larang :D)

28
Mar
2009

Upgrade ke Joomla 1.5.10

Last Updated :: Sunday, 07 March 2010 23:23 by Riesurya@MOTW

Kiranya peralihan dari Joomla 1.5.9 ke Joomla 1.6.x mengalami penundaan (sotoy ON). Setelah seharian menginstall ulang WinXXX (sambil ditinggal tidur ) dan saat update POP3Mail ternyata ada berita baru dari Joomla Security Strike Team (JSST). Wuih kaget banget, bukan kenapa-kenapa, soalnya kalo email dari JSST isinya ya bisa ditebak, seputar keamanan system Joomla, emangnya ada yang lain (info caleg...gak laku kalee ....)
Ternyata, isinya sederhana saja, agar pengguna Joomla 1.5.9 (atau dibawahnya, khusus J1.5.x) untuk melakukan upgrade atau sederhananya melakukan patch ke J1.5.10. Apakah begitu beresikonya hingga harus diupgrade? baca terus ya..
berikut kutipan dari emal sekuriti yang dikirim oleh JSST :
Description
A series of XSS and CSRF faults exist in the administrator application.  Affected administrator components include com_admin, com_media, com_search.  Both com_admin and com_search contain XSS vulnerabilities, and com_media contains 2 CSRF vulnerabilities.

Affected Installs

All 1.5.x installs prior to and including 1.5.9 are affected.  The com_search XSS vulnerability requires that "Gather Search Statistics" be enabled to be exploitable (Disabled by default).

solusinya

Upgrade to latest Joomla! version (1.5.10 or newer).

Status:
Target   : com_content
Tingkat resiko : Low
Versi Joomla : 1.5.9 dan semua rilis J1.5 sebelumnya
Jenis Eksploit : XSS  (Cross Site Scripting)
Ditemukan: 12 Maret 2009
Perbaikan : 27 Maret 2009

Meskipun dinyatakan tingkat resiko (severity) adalah Low (rendah) namun siapa yang berani ambil resiko. Dari keterangan waktu ditemukan (reported date) hingga rilis Patch, berarti sekitar 2 minggu JSST Team dan Joomla Core Developer bekerja melakukan patch terhadap file-file pada default system Joomla, dan tampaknya tidak hanya itu ada beberapa perbaikan yang juga disertakan, antara lain :
- validasi terhadap Sindikasi berita Atom feed (ini salah satu hal yang sempat bikin stress juga saat memvalidasi RSS Atom beberapa waktu lalu)
- perbaikan translasi
- Validasi XHTML output pada com_content dan com_contact
- perbaikan pada system Caching
- Sort ordering pada Categories (admin panel) sudah bisa reverse order

dan masih banyak lagi dengan total 75 Patch yang disertakan hingga dirilislah versi Joomla 1.5.10 dengan kode :"Wohmamni"  (tadi sempat salah baca: "Wo a ni"... he he he). (dihitung manual dari Changelog J.1.5.10)

Ada apa dengan XSS (baca Cross Site Scripting), bukan X tiga kali :-P an Cross-site request forgery (CSRF) yang menjadi resiko pada suatu website.
Menurut Wikipedia:
Cross-site request forgery, also known as one-click attack or session riding and abbreviated as CSRF ("sea-surf"[1]) or XSRF, is a type of malicious exploit of a website whereby unauthorized commands are transmitted from a user that the website trusts.[2] Unlike cross-site scripting (XSS), which exploits the trust a user has for a particular site, CSRF exploits the trust that a site has in a user's browser.
sedangkan XSS sendiri :
Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications which allow code injection by malicious web users into the web pages viewed by other users. Examples of such code include HTML code and client-side scripts. An exploited cross-site scripting vulnerability can be used by attackers to bypass access controls such as the same origin policy. Vulnerabilities of this kind have been exploited to craft powerful phishing attacks and browser exploits. As of 2007, cross-site scripting carried out on websites were roughly 80% of all documented security vulnerabilities.[1] Often during an attack "everything looks fine" to the end-user[2] who may be subject to unauthorized access, theft of sensitive data, and financial loss.
Berhubung saya sudah ngantuk, kalo bingung bacanya, silakan gunakan Google Translator (cara simple). Kalo gak lupa ntar ditranslate sekalian (pake Google Translator juga kali ya ..:D )

Akhirul kalam, saya mohon diri pamit untuk pindah ke lain hati artikel berikutnya tentang bagaimana cara patch ke Joomla versi baru. (Ada di tips and trick)

Dan, buat Anda penggemar bola Joomla , tunggu apa lagi segera upgrade atau patch Joomla 1.5.x anda ke versi 1.5.10.


Lagi-lagi masih di Cikarang, lonely is the night
Related news items:
Newer news items:
Older news items:


Tags: |  |  |  |  |  |  |  
<Next  
| Prev >

PS: please put source link if you want to embedded this article (or any others in MOTW) in your blog to respect my work and time, Thank you :)
Dont miss it, be the first get the latest article from Myfia On The Web

Comments 

 
#1 Suwahadi 2009-04-23 10:42
Akhirnya saya juga sudah migrasi dari Joomla 1.0.x ke 1.5.10, mampir ke blog saya ya om?
Thanks... :-)
 
 
#2 riesurya 2009-04-24 15:24
@Suwahadi: Selamat ya, jadi juga akhirnya nge-blog dengan Joomla 1.5.10 8)
 

Add comment


Security code
Refresh

Online ?

We have 122 guests online
Scroll to top
Copyleft © 2010 http://www.riesurya.com;
Custom Design Tableless Template by riesurya - Using Grid 960Css Framework, plus Notepad++ plus JQuery plus CSS and off course Joomla!
Other Customized Templates : Needpharmacyjobs- Oil and gas Jobs Career
Free Download CMS Themes


Page generated in 0.482708 seconds to load.