Objavljena Joomla! 3.6.4 - BITNA SIGURNOSNA NADOGRADNJA

[Bernard [ExaByte]]

Joomla! 3.6.4 je objavljena. Ovo je sigurnosno izdanje za Joomla 3.x seriju. Ovo izdanje ispravlja dvije kritične sigurnosne pogreške i ispravak buga kod dvofaktorske autentikacije.
Jako preporučamo da nadogradite svoje Joomle 3 što je prije moguće.

Što sadrži 3.6.4?
Izdanje 3.6.4 ispravlja dvije kritične sigurnosne pogreške i bug nastao u 2FA (dvofaktorskoj autentikaciji) u Joomli 3.6.3.


Ispravljeni sigurnosni propusti

• Visoki prioritet - Core - Izrada korisničkog računa (zahvaća Joomla! 3.4.4 do 3.6.3) - više informacija
• Visoki prioritet - Core - Podizanje korisničkih prava (zahvaća Joomla! 3.4.4 do 3.6.3) - više informacija

Ispravljeni pogrešaka u kodu

• #12497 - Ispravak enkripcije kod dvofaktorske autentikacije, problem koji je onemogućio sve korisnike 2FA da se prijave na svoj website nakon nadogradnje na 3.6.3

Za poznate probleme s Joomla! 3.6.4 izdanjem pogledajte Verzija 3.6.4 FAQ na stranici s dokumentacijom.

VAŽNO! Update s Joomli 3.4.x ili 3.5.x na 3.6.4 ne možete raditi putem Extension Managera! Koristite Update funkciju ili ručnu nadogradnju kako je opisano u dokumentaciji.



Preuzimanja
Nove instalacije: Kliknite ovdje za download Joomla 3.6.4 (Puni paket) »
- nove upute za instalaciju i tehnički zahtjevi

Nadogradnja: Kliknite ovdje za download Joomla 3.6.4 (Paket nadogradnje) »
- napomena: molimo pročitajte upute za nadogradnju prije nadogradnje.
- molimo ne zaboraviti isprazniti cache preglednika nakon izvršene nadogradnje


Ogroman Hvala! za sve naše volontere!

Zahvaljujemo članovima Joomla JSST tima koji je promptno ispravio ove pogreške.


Napomena autora ove obavijesti

Ja kao programer, kojeg osobito interesira segment informacijske sigurnosti web aplikacija, član OWASP-a, prijavio sam svoju zabrinutost vezano za ispravak patch koji ispravlja bug vezan za enkripciju konfiguracijskih podataka za dvofaktorsku autentikaciju. Patch sadržan u git pull requestu #12497 (link vidi gore) ujedno i isključuje enkripciju privatnog tajnog ključa koji sustav dobiva od Google Authenticator aplikacije. Prema RFC 6238 kod implementacije se strogo preporuča da se tajni ključ za generiranje vremenski baziranih jednokratnih lozinki od 6 brojeva (TOTP) sprema enkriptiran. Moje detaljno objašnjenje možete pronaći na na službenom GitHub Bug Trackeru.
Moja preporuka je da imate na umu da je trenutni način zapisivanja tajnog ključa promjenjen i zapisuje se kao neenkriptirani tekst. Ako se netko dokopa backupa baze biti će u mogućnosti sam generirati iste šestobrojne jednokratne lozinke kao i vaš Google Authenticator! Time je poništena korisnost 2FA sve dok se ovo ne ispravi i ponovo vrati enkripcija tajnog ključa. Ja ću sada prijaviti ovaj problem direktno JSST timu, iako su članovi tog tima prisutni i na tom ticketu.