Le CMS PHP Joomla vient de publier sa mise à jour 3.6.5
Qui apporte des correctifs de sécurité sur des vulnérabilités critiques

Le , par Siguillaume, Community Manager
qui apporte des correctifs de sécurité sur des vulnérabilités critiques

Joomla vient de publier une nouvelle release stable dédiée à des correctifs apportés sur la sécurité et la résolution de quelques bugs. En effet, dans cette version 3.6.5 le CMS PHP a adressé trois vulnérabilités qui affectaient le CMS depuis des versions précédentes. Ce sont :
  • l’élévation de privilèges : considérée comme une vulnérabilité critique qui affectait Joomla depuis la version 1.6.0, celle-ci s’appuyait sur des données non filtrées dans la soumission d’un formulaire de données pour modifier les informations et les privilèges d’un compte utilisateur à partir de la session en cours ;
  • l’upload de fichiers à potentiel exécutable comme les scripts Shell : identifiée dès la publication de la version 3.0.0, c’est une vulnérabilité mineure au niveau de la vérification des types de fichiers, qui peut peut être exploitée pour exécuter des scripts Shell malveillants sur le serveur ;
  • la divulgation d’informations confidentielles : c’est une vulnérabilité du template Beez3 dans le composant com_content. Bien que considérée comme mineur, elle peut donner accès à des articles auquel l’utilisateur n’a pas droit, en cas d’exploit.



En plus de ces vulnérabilités, d’autres points de la sécurité ont également revus et améliorer avec cette release.
Trois bugs majeurs ont aussi été résolus dans cette version 3.6.5. Il s’agit de la résolution de problèmes sur le composant Joomla Updater en environnement Windows, le package de langue sr-YU, et la révision des paramètres, par défaut, dans la création du compte utilisateur pendant l’installation.

La version 3.7 du CMS PHP Joomla est déjà en route, et selon la roadmap, une première version alpha sera disponible avant la fin de l’année 2016. La version stable de Joomla 3.7 est prévue pour la fin du premier trimestre 2017.

Sources : Annonce officielle, Roadmap Joomla 3.7

Votre avis :
Avez-vous dejà installé cette mise à jour ? Qu'en pensez-vous ?

Le forum Joomla


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de jfsenechal jfsenechal - Membre actif https://www.developpez.com
le 20/12/2016 à 17:01
"Vient de " l'info date du 13 décembre...
C'est toujours autant une vrai passoire ce joomla
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 20/12/2016 à 20:48
Citation Envoyé par jfsenechal  Voir le message
"Vient de " l'info date du 13 décembre...
C'est toujours autant une vrai passoire ce joomla

Un peu comme l'ensemble des logiciels et systèmes disponibles actuellement sur le marché, non?

Est-ce qu'il vous aurez échappé que des failles sécuritaires sont annoncées à longueur de semaine concernant tout ce qui touche de près ou de loin à internet ou aux appareils connectés? Ce site en fait d'ailleurs souvent l'écho.

Alors pourquoi ne pas voir la bouteille à moitié pleine (plutôt que à moitié vide)? Perso, je constate que la communauté Joomla est très efficace et qu'elle corrige les bugs détectés rapidement et sans que cela coûte le moindre centime d'euro aux utilisateurs de Joomla...

Peut-on en dire autant de certains logiciels et bases de données payantes?
Avatar de ideeaugram ideeaugram - Membre du Club https://www.developpez.com
le 20/12/2016 à 21:39
Si je fais le bilan des CMS utilisés en cette fin 2016, Joomla! qui en est maintenant à la version 3.6.5. réuni toujours tous les avantages, et me donne toutes satisfactions. A ce jour, je ne trouve toujours pas d'inconvénient à cette application que j'utilise depuis plus de 7 ans maintenant.

Par rapport à tous ses concurrents, le gain de temps pendant la construction est énorme, la gestion et la sauvegarde du site web ultra simple et efficace. La fiabilité de la sauvegarde permet d'ailleurs une restauration complète du site en cas de perte (base de donnée comprise), équivalente à une nouvelle installation, (et aussi simple).

Joomla! permet de ne pas perdre de temps avec la construction en passant directement de la conception à la réalisation.

La simplicité de mise en place et d'utilisation permet de rentrer progressivement dans la logique du système.
Les très nombreuses extensions dans tous les domaines et la communauté internationale qui le fait évoluer en font le meilleur CMS actuel, et de loin, à mon avis !

Par ailleurs, il ne faut pas oublier que les principaux CMS concurrents de Joomla!, ont eu à faire face, comme ce dernier, à d'importantes failles de sécurité dues à la conception de modules "bricolés-maison". Cette pratique dite "mettre les mains dans le cambouis" privilégiée par certains acteurs du web est à proscrire absolument si on ne maîtrise pas complètement le processus en question.

En effet, il est inutile de réinventer la roue quand d'autres l'ont déjà fait !

La réactivité des équipes de développeurs a d'ailleurs pu être vérifiée avec la sortie de la version 3.6.5 actuelle qui venait en réponse aux attaques de cet été.

Le professionnalisme de ceux qui travaillent au niveau mondial à faire sans cesse évoluer ce CMS, ne me semble pas contestable.
Avatar de MaitrePylos MaitrePylos - Responsable Livres https://www.developpez.com
le 21/12/2016 à 10:36
Citation Envoyé par ideeaugram  Voir le message


En effet, il est inutile de réinventer la roue quand d'autres l'ont déjà fait !

Heureusement que certains le font quand même.

Avatar de Felykanku Felykanku - Membre régulier https://www.developpez.com
le 22/12/2016 à 4:17
Particulierement c'est une bonne nouvelle, je travaillais sur un projet site e-commerce avec mes amis, une fois le projet fini; nous avions deploier le site en ligne sur un hebergeur joomla. Domage dans presque 3 jours le site était déjà attaqué. Nous l'avions su à travers un mail de l'hebergeur nous demandant de changer les identifiants du fichier admin. Nous nous sommes réunis pour auditer la situation et donner les pistes de solution: d'un coup l'idée m'est venu de proposer aux amis d'eventuels changement des identifiants et de nous faire hacker de notre site. Pouf nous avions reussi. Donc pour dire que, parmi les CMS qui existent, joomla restent le plus populaire en France, plus sympa mais avec sécurité faible, pas consistent et c'est cela qui faisait son plus grand défaut. Nous allons voir si cela a été reellement un paris reussi avec la v3 actuelle.
Avatar de z3bulon z3bulon - Membre à l'essai https://www.developpez.com
le 30/12/2016 à 9:06
Joomla est un très bon CMS avec un nombre de plugins répondant à la majorité des besoins.
J'ai travaillé avec Joomla sur plusieurs projets et j'ai été formateur sur ce CMS.
Par contre je ne sais pas pourquoi mais dans l'esprit des clients et prospects, Joomla traine une image d'usine à gaz très peu sécurisée.

Je suis passé à WordPress qui est très populaire.
Pour autant la problématique sécuritaire est le même et les attaques aussi nombreuses.
C'est vraiment une histoire de ressenti plus que de technique.
Avatar de Felykanku Felykanku - Membre régulier https://www.developpez.com
le 05/03/2017 à 0:16
Ils avaient promis des ameliorations et aujourd'hui ??? je me demande en quoi la nouvelle version est-elle meilleure aux precedentes ???
joomla
Avatar de cavo789 cavo789 - Membre éprouvé https://www.developpez.com
le 06/03/2017 à 9:36
Bonjour

Citation Envoyé par Felykanku  Voir le message
Ils avaient promis des ameliorations et aujourd'hui ??? je me demande en quoi la nouvelle version est-elle meilleure aux precedentes ???

Une analyse plus fournie qu'un troll serait plus utile non ?

La liste des nouveautés est disponible sur le site joomla.org : https://www.joomla.org/3/fr/

(Si tu ne trouves pas ce CMS à ton goût, rien ne te force à l'utiliser)
Offres d'emploi IT
Lead Dev PHP - DB
CLAIR ET NET. Agence digitale Paris - Ile de France - Paris (75015)
Développeur web FullStack (H/F)
ParkingMap - Ile de France - Paris
Développeur PHP / MySQL référent – E-commerce Made In France H/F (Paris) CDI
Mobiskill - Ile de France - Paris

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique PHP