于 2010 年四月 23 日,Joomla! 1.5.16 在官方网站释出供人下载。然而在两天之后,1.5.16 官方宣布上多了一则注意事项,警告用户出现在这个最新版的两个严重的臭虫。下一更新版 Joomla! 1.5.17 已订于四月 27 日推出,它会把这两个臭虫填补起来。

如果你的伺服器目前使用 PHP 5.2 之前的版本,或是伺服器全站设定的 Session Handler 设成 None, 则那些伺服器会被那两个臭虫影响到。请暂缓升级,直到 Joomla! 1.5.17 释出再做升级。

至从 Joomla! 1.5.15 到现在已经六个月了。于 2010 年四月 23 日,Joomla! 1.5.16 宣布释出以修补之前版本中的 48 项各种问题。其中包含了 2 则中度和 2 则低度优先的安全问题。

  • 中度优先 - 核心 - 负数的限制与位移:如果使用者在 URL 中输入了一个负数的查询限制或位移,一份 PHP 通告会透露出有关系统的资讯。
  • 中度优先 - 核心 - 作业阶段定置:当使用者登入后,作业阶段 id 没有改变。远端网站可将访客转送到 Joomla! 网站,然后重复使用 cookie 来验证为该使用者。
  • 低度优先 - 核心 - 安装程式的搬迁脚本:Joomla! 安装程式中的搬迁脚本程式没有检查上传档案的型式。如果安装程式存在于网站上,攻击者能够用它来上传恶意档案到伺服器。
  • 低度优先 - 核心 - 密码重设代码:当使用者请求重设密码时,重设代码是以明码存入资料库内。如果网站上正好某个延伸套件有 SQL 注入漏洞,则它可能让使用者帐户被破解。

你可在官方宣布网页找到完整的被修复问题的列表。

 

FaLang translation system by Faboba