Face aux problèmes de sécurité de la semaine dernière, la Joomla Security Strike a sorti une nouvelle solution. Après la mise à jour développée récemment, il semblerait que le bogue de PHP serait en cause. Le problème a alors été résolu par PHO au mois de septembre 2015, à travers des versions successives de PHP (4.5.45, 5.5.29, 5.6.13). Il faut noter que l’ensemble des versions PHP 7 a fait l’objet de corrections, et Joomla a même rétro porté le bogue dans des versions dédiées à Linux LTS.
Seuls les sites hébergés par des versions de PHP fragiles face à ce bug sont concernés par le problème. Ce ne sont pas tous les hébergeurs qui mettent leurs installations PHP à jour, raison pour laquelle cette nouvelle mise à jour de Joomla a été publiée, cette dernière contenant une protection supplémentaire pour les utilisateurs. Il est fortement recommandé d’effectuer ainsi cette mise à jour le plus tôt possible.
La mise à jour après la version 3.4.6 de Joomla est simple à effectuer : il vous suffit de vous connecter en tant qu’administrateur du site et de cliquer sur le bouton correspondant à la mise à jour en question. Une fenêtre d’avertissement de mise à jour apparaîtra par mesure de sécurité, dès lors que l’administrateur se connecte.
Il faut noter qu’à cause de certaines modifications de sessions, il ne vous sera pas possible de modifier quelque chose dans votre site, tant que vous ne procédez pas à une déconnexion puis une reconnexion. Il faut aussi savoir que la manière dont la session a été gérée a fait l’objet de rupture de comptabilité. Dans le cas où vous êtes utilisateur d’API documentée Joomla, vous ne connaîtrez aucun souci, les modifications étant complètement documentées dans la documentation publiée.
Les corrections apportées au niveau sécurité
Les versions 1.5 à 3.4.6 ont subi une correction pour la haute priorité, concernant le noyau. Ainsi, l’exécution des sessions a été durcie.
Pour ce qui est de la faible priorité, le SQL a été injecté dans les versions 3.0.0 à 3.4.6 de Joomla.
Un FAQ est à votre disposition pour tout ce qui concerne la version 3.4.7 et vous pouvez également consulter une documentation dédiée pour tout problème courant avec Joomla.
Joomla ne fournit plus de mise à jour de sécurité pour les versions ses plus antérieures (Joomla 1.5 et 2.5), mais les correctifs restent disponibles. Ainsi, vous pouvez télécharger le Patch spécifique à Joomla 2.5 Session Hardening pour Joomla 2.5 et effectuer un remplacement manuel des fichiers. Pour la version Joomla 1.5 : vous pouvez télécharger le Patch spécifique à Joomla 1.5 Session Hardening et, de même, faire une substitution de fichiers manuellement. Pour toute information, vous pourrez toujours vous référer à Security Centre.