Ophef rond onofficiële veiligheidsupdate

Gisteravond publiceerde Joomlatools een blog met daarin een onofficiële veiligheidsupdate voor Joomla! 1.5.7. De veiligheidsupdate zou een XSS kwetsbaarheid bij artikel parameters oplossen welke tijdens de laatste bootcamp aan het licht kwam.

Al snel kwam Joomla! met een reactie in de vorm van een blog van Anthony Ferrara. Hierin wordt sterk afgeraden onofficiële patches te installeren, maar te wachten tot de officiële release van Joomla! 1.5.8 welke eraan zit te komen.

Wel erkent Joomla! het aangekaarte probleem maar het wordt niet als dusdanig kritisch beoordeeld dat er tot directe release wordt overgegaan. In de komende 1.5.8 versie zal het probleem verholpen worden.

Joomlatools geeft desgevraagd aan met name bewustzijn te willen creëren rond de Joomla veiligheid. Men vindt het vreemd dat na de melding van het probleem op 4 oktober aan het JSST geen reactie terug wordt ontvangen, en dat de patch zonder enig bericht naar de maker uit de bug tracker is verwijderd.

De reactie van Joomla! is ook niet mis. Anthony meldt in de blog dat er geen tolerantie is voor zulk gedrag en dat de betrokken leden direct uit hun posities bij Joomla! zijn gezet.

Het is te betreuren dat een dergelijk probleem op deze manier aan het licht komt en de duidelijkheid naar de eindgebruiker te wensen over laat. Betere communicatie van beide partijen had deze discussie waarschijnlijk kunnen voorkomen.

Wat moet ik nu doen?
Wij raden aan om geen onofficiële patches te installeren en te wachten tot een officiële release van Joomla! 1.5.8. Deze is onderweg en vanzelfsprekend zullen wij hierover berichten als het zo ver is. Het risico tot een gehacke site is tot die tijd niet erg groot. De hacker moet minimaal over een account met de gebruikersrechten van auteur of hoger beschikken om de hack te kunnen uitvoeren.