Ce jour, le 03 septembre 2013 la version 2.0.22c de Virtuemart est disponible
Vous êtes invités à télécharger cette nouvelle version et mettre à jour vos sites e-commerce Joomla 2.5 et Virtuemart 2.0 ; n'oublliez pas de décompresser une première fois le dossier, qui contient le com_virtuemart et le com_virtuemart_ext_aio.
com_virtuemart.2.0.22c_extract_first.zip
com_virtuemart.2.0.22c_extract_first.targz.zip
Vous pouvez également voir la procédure complète d'installation de Joomla! et Virtuemart ici
à propos de cette version
COMMUNIQUÉ DE SÉCURITÉ IMPORTANT,
La dernière fois, certaines personnes nous ont fait remarquer que nous devrions fournir plus d'informations sur les failles de sécurité. Habituellement, si le problème se trouve dans les fichiers de base, et nous suivons la procédure de sécurisation par l'obscurité, cela signifie que nous n'expliquons pas exactement où, ni comment, trouver la faille. Mais la toute dernière injection SQL possible est, en fait, une question de template. Alors, cette fois nous pouvons expliquer très précisément ce qui s'est passé.
Parfois, nous avons utilisé dans le code JURI :: getInstance () -> toString (), mais l'URL saisie n'est pas filtrée. Les fabricants de templates, les développeurs 3ème partie et les personnes qui utilisent leurs propres mises en page modifiées, doivent vérifier leur code, s'ils l'utilisent aussi cette formule, et en ce cas, la remplacer. Tout ceux qui ont utilisé cela dans leurs template devraient remplacer par vmURI :: getCleanUrl (). La partie délicate se situe dans mod_virtuemart / _currencies / tmpl / default.php. Le correctif de ce problème dans vm2.0.22b prévient le pire, mais il n'est pas aussi sécurisé que dans la dernière version.
Les autres correctifs se situent dans le noyau. Nous remercions Compass Security (www.csnc.ch) et Fiona Coulter (spiralscripts.co.uk) pour avoir trouvé les fuites. Nous recommandons fortement à tout le monde de mettre à jour leur(s) site(s) aussi vite que possible. Nous voyons encore des gens avec la version 2.0.10, car ils craignent de mettre à jour. Certains craignent que les overrides ou surcharges ne fonctionnent plus sur leur site ; ils devraient tester sur une sauvegarde, tester chaque surcharge et vérifier si elle est encore nécessaire. Si vous avez encore des problèmes, s'il vous plaît rejoignez notre forum http://forum.virtuemart.net/index.php?board=130.0. Les modifications majeures se sont déroulées entre les versions 2.0.0-2.0.12. Dans le cas d'une mise à jour, il peut être préférable de débuter avec une nouvelle installation vm2.0.22c originale et de ré-écrire les surcharges.
article librement traduit de :
http://virtuemart.net/news/list-all-news/446-important-security-release-vm-team-at-joomladay-germany
L'adresse du forum en français :
http://virtuemart.fr/forum.html#
