Suite à la mise a jour recente qui concernait la sécurité de Joomla!( version 3.6.4), l'équipe d'Akeeba a sorti une mise à jour du composant Admintools. Vous trouverez le descriptif de cette mise à jour dans cet article.

Quoi de neuf dans cette version d'Admin Tools 4.0.2 ?

Quelle est la raison de cette mise a jour?

En raison d'un bogue présenté dans Joomla 3.4.4 un utilisateur non authentifié peut enregistrer un compte d'utilisateur avec les droits de n'importe quel groupe d'utilisateur sauf Super-Utilisateur. Cela fonctionne même quand vous avez désactivé l'inscription sur Joomla!.

Dans des termes clairs, n'importe quel pirate informatique peut créer un compte Administrateur (mais PAS Super-utilisateur) sur votre site. Il pourra donc avec ce compte modifier le contenu de votre site, mais, avec les options de sécurité par défaut de Joomla, il ne pourra pas installer des extensions malveillantes.

Quels sites sont affectés?

Chaque site qui est entre la version 3.4.4 et 3.6.3 de Joomla!

Devrais-je m'inquiéter?

Oui, beaucoup! C'est une question de sécurité MAJEURE. même si le pirate n'a pas d'accès Super-User, il a quand même assez de droits en tant qu'administrateur pour causer des problèmes fonctionnels ou insérer un code Javascript malveillant qui peut être utilisé pour vous hacker ou hacker les visiteurs de votre site.

Dans tous les cas, un pirate informatique qui abuse de votre site aura un impact très négatif sur la façon dont votre site est perçu par les moteurs de recherche et les visiteurs.

Qu'est-ce qu'Admitools fait pour vous proteger.

Admintools possède une fonction appelée WAF Blacklist. Cette fonction vous permet de créer des règles personnalisées qui bloquent des requêtes basées sur une variété de facteurs. Nous avons identifié les vecteurs d'attaques qui permettent d'exploiter cette faille de sécurité et nous avons créé une nouvelle règle en fonction de cela. Cette regle est installée est activée automatiquement lorsque vous mettez à jour Admintools en version 4.0.2.

Pour les utilisateurs de la version précédente, la nouvelle regle de WAF Blacklist est la suivante :

Verb: – – –
Component: com_users
View: (leave blank)
Task: (leave blank)
Query Parameter: Select Partial in the dropdown. In the textbox enter user[groups]
RegEx for query content: (leave blank)

 

Notes de version Admin Tools 4.0.2:

Bug fixes

  • [HIGH] NginX Conf Maker generates invalid code for allowed PHP files
  • [HIGH] WAF Blacklist was incompatible with SEF URLs as it was being triggered onAfterInitialize instead of onAfterRoute
  • [LOW] Could not preview generated nginx.conf and web.config
  • [LOW] Fixed modal windows when graphs are not displayed in the Control Panel
  • [LOW] NginX Conf Maker and Web.config Maker claim they are not supported when they actually are
  • [LOW] NginX Conf Maker: “Optimise file handle cache” and “Optimise output buffering” options were mixed up
  • [LOW] Removed unused option in “Admin Tools Joomla! Update Email” system plugin
  • [LOW] The Security Exceptions page had the wrong default ordering
  • [LOW] The automatic redirection to HTTP when you're using the HSTS header in the .htaccess Maker would end up in an invalid URL on some servers with a bad configuration
  • [MEDIUM] Fixed custom HTML template used to display the block message
  • [MEDIUM] Web.config Maker: Block access from specific user agents feature causes a 500 Internal Server Error

New features

  • Added a Published field to the WAF Blacklist records, allowing you to enable/disable rules
  • Added font files to the expiration optimization features of NignX and Htaccess Maker
  • Added mitigation for user registration exploit in Joomla! 3.4.4 to 3.6.3 (inclusive). The mitigation rule is added in the WAF Blacklist feature.
  • Added warning if database updates are stuck due to table corruption

Miscellaneous changes

  • .htaccess Maker: Remove default expiration time for HTML documents because it conflicts with back-end editing
(Note moyenne des votes pour cet article NAN sur 0 Nombre de votes)

Confiez-nous votre maintenance !

Spécialistes et experts Joomla! depuis plus de dix ans, l'agence Agerix vous propose un support professionnel adapté à votre environnement et à votre budget.

Maintenance Joomla! professionnelle : agerix.fr

Contactez-nous maintenant et parlons-en.

Certification Joomla

Tous les membres de l'équipe Agerix ont obtenu leur certification administrateur joomla!

certification administrateur joomla

 

Dernière news

Abonnez-vous à notre newsletter

Genre

Confidentiel Agence Agerix © 2017 S.A.R.L au capital de 8500 euros. RCS Bordeaux 812 619 062.
A.P.E 6202A N° identification T.V.A FR42812619062 Prestataire de formation n° 75 33 10531 33

Agerix
Addresse: 4 rue Jean Moulin 33310 Lormont, France ,
Tel:( 33 5) 35 54 92 03 , Fax:( 33 9) 72 14 74 74 , E-mail: contact(at)agerix.fr

agerix.fr n'est ni affilié à Open Source Matters ou au projet Joomla!® ni approuvé par eux.
Le nom Joomla! et le logo sont utilisé sous licence limitée accordée par Open Source Matters, propriétaire de la marque aux États-Unis et autres pays.

Ce site utilise Google Analytics. En continuant à naviguer, vous nous autorisez à déposer un cookie à des fins de mesure d'audience.