Joomla! 3.6.4 je objavljena. Ovo je
sigurnosno izdanje za Joomla 3.x seriju. Ovo izdanje ispravlja
dvije kritične sigurnosne pogreške i ispravak buga kod dvofaktorske autentikacije.
Jako preporučamo da nadogradite svoje Joomle 3 što je prije moguće.Što sadrži 3.6.4?Izdanje 3.6.4 ispravlja dvije kritične sigurnosne pogreške i bug nastao u 2FA (dvofaktorskoj autentikaciji) u Joomli 3.6.3.
Ispravljeni sigurnosni propusti
- Visoki prioritet - Core - Izrada korisničkog računa (zahvaća Joomla! 3.4.4 do 3.6.3) - više informacija (https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html)
- Visoki prioritet - Core - Podizanje korisničkih prava (zahvaća Joomla! 3.4.4 do 3.6.3) - više informacija (https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html)
Ispravljeni pogrešaka u kodu
- #12497 (https://github.com/joomla/joomla-cms/pull/12497) - Ispravak enkripcije kod dvofaktorske autentikacije, problem koji je onemogućio sve korisnike 2FA da se prijave na svoj website nakon nadogradnje na 3.6.3
Za poznate probleme s Joomla! 3.6.4 izdanjem pogledajte Verzija 3.6.4 FAQ (http://docs.joomla.org/Category:Version_3.6.4_FAQ) na stranici s dokumentacijom.VAŽNO! Update s Joomli 3.4.x ili 3.5.x na 3.6.4 ne možete raditi putem Extension Managera! Koristite Update funkciju ili ručnu nadogradnju kako je opisano u dokumentaciji (https://docs.joomla.org/J3.x:Upgrading_from_Joomla_3.4.x_to_3.5).
PreuzimanjaNove instalacije: Kliknite ovdje za download Joomla 3.6.4 (Puni paket) » (https://github.com/joomla/joomla-cms/releases/download/3.6.4/Joomla_3.6.4-Stable-Full_Package.zip)
- nove upute za instalaciju (http://docs.joomla.org/Use_Joomla%21_on_your_own_computer) i tehnički zahtjevi (http://www.joomla.org/about-joomla/technical-requirements.html)
Nadogradnja: Kliknite ovdje za download Joomla 3.6.4 (Paket nadogradnje) » (https://github.com/joomla/joomla-cms/releases/tag/3.6.4)
- napomena: molimo pročitajte upute za nadogradnju (http://docs.joomla.org/Upgrading_from_an_existing_version) prije nadogradnje.
- molimo ne zaboraviti isprazniti cache preglednika nakon izvršene nadogradnje
Ogroman Hvala! za sve naše volontere!Zahvaljujemo članovima Joomla JSST tima koji je promptno ispravio ove pogreške.
Napomena autora ove obavijestiJa kao programer, kojeg osobito interesira segment informacijske sigurnosti web aplikacija, član OWASP-a, prijavio sam svoju zabrinutost vezano za ispravak patch koji ispravlja bug vezan za enkripciju konfiguracijskih podataka za dvofaktorsku autentikaciju. Patch sadržan u git pull requestu #12497 (link vidi gore) ujedno i isključuje enkripciju privatnog tajnog ključa koji sustav dobiva od Google Authenticator aplikacije. Prema RFC 6238 kod implementacije se strogo preporuča da se tajni ključ za generiranje vremenski baziranih jednokratnih lozinki od 6 brojeva (TOTP)
sprema enkriptiran. Moje detaljno objašnjenje možete pronaći na na službenom GitHub Bug Trackeru (https://github.com/joomla/joomla-cms/issues/12458#issuecomment-255559850).
Moja preporuka je da imate na umu da je trenutni način zapisivanja tajnog ključa promjenjen i zapisuje se kao neenkriptirani tekst. Ako se netko dokopa backupa baze biti će u mogućnosti sam generirati iste šestobrojne jednokratne lozinke kao i vaš Google Authenticator! Time je poništena korisnost 2FA sve dok se ovo ne ispravi i ponovo vrati enkripcija tajnog ključa. Ja ću sada prijaviti ovaj problem direktno JSST timu, iako su članovi tog tima prisutni i na tom ticketu.