Forum zajednice Joomla! Hrvatska

"Oglasna ploča" zajednice => Obavijesti i najave => Autor teme: Bernard [ExaByte] u 26. Listopad 2016, 10:05

Naziv: Objavljena Joomla! 3.6.4 - BITNA SIGURNOSNA NADOGRADNJA
Autor: Bernard [ExaByte] u 26. Listopad 2016, 10:05
Joomla! 3.6.4 je objavljena. Ovo je sigurnosno izdanje za Joomla 3.x seriju. Ovo izdanje ispravlja dvije kritične sigurnosne pogreške i ispravak buga kod dvofaktorske autentikacije.
Jako preporučamo da nadogradite svoje Joomle 3 što je prije moguće.

Što sadrži 3.6.4?
Izdanje 3.6.4 ispravlja dvije kritične sigurnosne pogreške i bug nastao u 2FA (dvofaktorskoj autentikaciji) u Joomli 3.6.3.


Ispravljeni sigurnosni propusti


Ispravljeni pogrešaka u kodu



Za poznate probleme s Joomla! 3.6.4 izdanjem pogledajte Verzija 3.6.4 FAQ (http://docs.joomla.org/Category:Version_3.6.4_FAQ) na stranici s dokumentacijom.

VAŽNO! Update s Joomli 3.4.x ili 3.5.x na 3.6.4 ne možete raditi putem Extension Managera! Koristite Update funkciju ili ručnu nadogradnju kako je opisano u dokumentaciji (https://docs.joomla.org/J3.x:Upgrading_from_Joomla_3.4.x_to_3.5).



Preuzimanja
Nove instalacije: Kliknite ovdje za download Joomla 3.6.4 (Puni paket) » (https://github.com/joomla/joomla-cms/releases/download/3.6.4/Joomla_3.6.4-Stable-Full_Package.zip)
- nove upute za instalaciju (http://docs.joomla.org/Use_Joomla%21_on_your_own_computer) i tehnički zahtjevi (http://www.joomla.org/about-joomla/technical-requirements.html)

Nadogradnja: Kliknite ovdje za download Joomla 3.6.4 (Paket nadogradnje) » (https://github.com/joomla/joomla-cms/releases/tag/3.6.4)
- napomena: molimo pročitajte upute za nadogradnju (http://docs.joomla.org/Upgrading_from_an_existing_version) prije nadogradnje.
- molimo ne zaboraviti isprazniti cache preglednika nakon izvršene nadogradnje


Ogroman Hvala! za sve naše volontere!

Zahvaljujemo članovima Joomla JSST tima koji je promptno ispravio ove pogreške.


Napomena autora ove obavijesti

Ja kao programer, kojeg osobito interesira segment informacijske sigurnosti web aplikacija, član OWASP-a, prijavio sam svoju zabrinutost vezano za ispravak patch koji ispravlja bug vezan za enkripciju konfiguracijskih podataka za dvofaktorsku autentikaciju. Patch sadržan u git pull requestu #12497 (link vidi gore) ujedno i isključuje enkripciju privatnog tajnog ključa koji sustav dobiva od Google Authenticator aplikacije. Prema RFC 6238 kod implementacije se strogo preporuča da se tajni ključ za generiranje vremenski baziranih jednokratnih lozinki od 6 brojeva (TOTP) sprema enkriptiran. Moje detaljno objašnjenje možete pronaći na na službenom GitHub Bug Trackeru (https://github.com/joomla/joomla-cms/issues/12458#issuecomment-255559850).
Moja preporuka je da imate na umu da je trenutni način zapisivanja tajnog ključa promjenjen i zapisuje se kao neenkriptirani tekst. Ako se netko dokopa backupa baze biti će u mogućnosti sam generirati iste šestobrojne jednokratne lozinke kao i vaš Google Authenticator! Time je poništena korisnost 2FA sve dok se ovo ne ispravi i ponovo vrati enkripcija tajnog ključa. Ja ću sada prijaviti ovaj problem direktno JSST timu, iako su članovi tog tima prisutni i na tom ticketu.