於 2010 年四月 23 日,Joomla! 1.5.16 在官方網站釋出供人下載。然而在兩天之後,1.5.16 官方宣佈上多了一則注意事項,警告用戶出現在這個最新版的兩個嚴重的臭蟲。下一更新版 Joomla! 1.5.17 已訂於四月 27 日推出,它會把這兩個臭蟲填補起來。
如果你的伺服器目前使用 PHP 5.2 之前的版本,或是伺服器全站設定的 Session Handler 設成 None,則那些伺服器會被那兩個臭蟲影響到。請暫緩升級,直到 Joomla! 1.5.17 釋出再做升級。
至從 Joomla! 1.5.15 到現在已經六個月了。於 2010 年四月 23 日,Joomla! 1.5.16 宣佈釋出以修補之前版本中的 48 項各種問題。其中包含了 2 則中度和 2 則低度優先的安全問題。
- 中度優先 - 核心 - 負數的限制與位移:如果使用者在 URL 中輸入了一個負數的查詢限制或位移,一份 PHP 通告會透露出有關系統的資訊。
- 中度優先 - 核心 - 作業階段定置:當使用者登入後,作業階段 id 沒有改變。遠端網站可將訪客轉送到 Joomla! 網站,然後重複使用 cookie 來驗證為該使用者。
- 低度優先 - 核心 - 安裝程式的搬遷腳本:Joomla! 安裝程式中的搬遷腳本程式沒有檢查上傳檔案的型式。如果安裝程式存在於網站上,攻擊者能夠用它來上傳惡意檔案到伺服器。
- 低度優先 - 核心 - 密碼重設代碼:當使用者請求重設密碼時,重設代碼是以明碼存入資料庫內。如果網站上正好某個延伸套件有 SQL 注入漏洞,則它可能讓使用者帳戶被破解。
你可在官方宣布網頁找到完整的被修復問題的列表。