Op dinsdag 25 augustus heeft Joomla een nieuwe versie vrijgegeven. Met Joomla 3.9.21 worden 3 veiligheidsproblemen verholpen en meer dan 20 programmeerfouten (bugs) en verbeteringen doorgevoerd.

joomla 3921 release

Veiligheid

De drie veiligheidsverbeteringen (security fixes) in Joomla 3.9.21 zijn:

  1. Het ontbreken van het 'escapen' (onveilige tekens omzetten naar veilige tekens) in mod_latestactions staat XSS-aanvallen (cross-site scripting) toe.
    Lage prioriteit
    Betreft Joomla 3.9.0 tot en met 3.9.20
    Meer informatie
  2. Door onvoldoende controle van de invoer in com_content ontstaat een open redirect.
    Lage prioriteit
    Betreft Joomla 3.0.0 tot en met 3.9.20
    Meer informatie
  3. Door onvoldoende controle van de invoer kun je via com_media naar paden boven de public_html (webroot).
    Lage prioriteit
    Betreft Joomla 2.5.0 tot en met 3.9.20
    Meer informatie

Gerepareerde en verbeterde bugs

Behalve de veiligheidsverbetering die hierboven wordt genoemd zijn er ook meer dan 20 verbeteringen in Joomla 3.9.21 verwerkt, waaronder:

  • TinyMCE bijgewerkt
  • CodeMirror bijgewerkt
  • Upload pakketbestand / Joomla update: Controle op upload-bestandsgrootte toegevoegd
  • Actielog: Log een gebeurtenis als Joomla bijgewerkt is

Kijk op GitHub voor de volledige lijst met bug-fixes.

Belangrijke verandering: extra XSS-bescherming voor het gebruik van SVG-bestanden

Sinds 3.9.21 wordt Joomla met een extra veiligheidsregel in het standaard htaccess.txt bestand uitgebracht. Deze regel beschermt gebruikers van SVG bestanden tegen potentiële Cross-Site-Scripting (XSS) kwetsbaarheden.
Het beveiligingsteam raadt aan handmatig de noodzakelijke wijzigingen in bestaande .htaccess bestanden aan te brengen, aangezien dit niet automatisch kan worden bijgewerkt.

Wijzigingen voor .htaccess

<FilesMatch "\.svg$">
	<IfModule mod_headers.c>
		Header always set Content-Security-Policy "script-src 'none'"
	</IfModule>
</FilesMatch>

Er is nog geen methode bekend om dit voorwaardelijk op IIS-webservers in te stellen, neem contact op met je hostingprovider voor meer ondersteuning.

Heb je webhosting bij Yolknet en een updatepakket? Dan wordt dit automatisch geregeld voor je.

Download

Joomla 3.9.21 (zip)
Joomla 3 upgrade-pakket van 3.9.20 naar 3.9.21 (zip)
Joomla 3 upgrade-pakket van 3.9.x naar 3.9.21 (zip)

Lees voordat je gaat updaten eerst de instructies op https://docs.joomla.org/J3.x:Updating_from_an_existing_version/nl

Yolknet© 2005 - 2021Alle rechten voorbehoudenPrijzen excl. 21% btw