Joomla! 1.0.4 sikkerhedsopdatering klar til download

[ot2sen]

Joomla! 1.0.4 [Sundial] kan nu downloades fra joomlaforge.

Dette er en Security Release, hvilket betyder at den indeholder rettelser til flere sikkerhedsbrister.
Det anbefales på det kraftigste at du opdaterer til denne version.

1.0.4 er tilgængelig som en Full Package, som indeholder alle Joomla!-filer og en Patch Package som kun indeholder de filer som er blevet ændret i forbindelse med den udførte sikkerhedsrettelse.

1.0.4 Changelog http://www.joomla.org/content/view/499/66/
1.0.4 Version Information http://www.joomla.org/content/blogcategory/32/66/


Læs mere her:
http://www.joomla.org/content/view/498/74/

Debat her:
http://forum.joomla.org/index.php/topic,19914.0.html

[solsikkehaven]

Og det er som sædvanligt fuldstændigt smertefrit, så bare kom igang :-)

iøvrigt.....så har de fået rettet en hel del bugs udover de mulige sikkerhedsproblemer, f.eks. denne:

# Fixed artf1692 : email and print buttons (maybe also the PDF) does not validate

(I har nok gættet, at når den bliver fremhævet, så er det fordi at det var mig selv der lagde den i bug-trackeren *smil* ).....
Et bevis på at mange bække små giver en stor Joomla!....

[oleg]

Hvad nu hvis man har 10 kunder der kører den første version af Joomla - hvem skal betale for opdatering efter opdatering. Jeg synes nu nok der kommer lidt for mange opdateringer. Hvordan kan det være at der hele tiden findes fejl i koden? Kunne man foreslå at der ikke laves fornyelser inden man har styr på sikkerheden.

Nå, bare lige en kommentar. Jeg mener man håndterer det forkert.

[Hotserv]

Tjaa, prøv at se på de andre software producenter..

Microsoft er altid et godt eksempel, hvor mange opdateringer kommer der til det??

Nu sidder jeg selv som software udvikler, og kan fortælle så meget at INTET software er uden fejl. Det kan altid optimeres og forbedres.
Måske skal du se opdateringerne som en positiv ting, eftersom du får et gratis system. Og derud over har en stor samling af gode udviklere som sørger for at vedligeholde det.

Mange commercielle softwarepakker udgiver sjældent security fixes selvom de virkeligt burde se på sikkerheden.

Summa summarum, sæt dig ind i tingene før du udtaler dig om at det er forkert at håndtere det som de gør, eller kom med en mere struktureret og konstruktiv køreplan for projektledelse og softwareudvikling af denne kaliber.

[larsbrink]

Du skal da være glad for at de laver arbejde til dig. Det er op til dig at tage for det eller gøre det gratis i en periode. En opdatering som den i dag tager max. 2 minutter så det kunne jo være en fin ting at have med i et tilbud (xx opdateringer gratis inden for de første xx måneder) eller lignende.

Det er som andre skriver en god ting at der kommer opdateringer. Sådan er livet med alt software nu om dage.

Det kan diskuteres om det er for mange opdateringer, men så kan man jo bare installere dem som er sikkerhedrelateret og ikke alle sammen.

[solsikkehaven]

Hvad nu hvis man har 10 kunder der kører den første version af Joomla - hvem skal betale for opdatering efter opdatering. Jeg synes nu nok der kommer lidt for mange opdateringer. Hvordan kan det være at der hele tiden findes fejl i koden? Kunne man foreslå at der ikke laves fornyelser inden man har styr på sikkerheden.

Nå, bare lige en kommentar. Jeg mener man håndterer det forkert.

Det var faktisk een af hoved-grundene til, at de gik fra at lave opdateringer+nye versioner som eet hold, til at have et hold der står for næste version og et hold der separat står for at patche den eksisterende version.
Jeg synes vi istedet vi skal glæde os over, at tiderne hvor du var nødt til at følge med i ALT for at patche din eksisterende Mambo installation er ovre - nu kan man blot nøjes med at få (få som i gratis, værsgo) en patch fil engang imellem.

INDRØMMET - det er LIGE mange fejl nok der har været i Joomla, men prøv lige at tage en Joomla 1.0.4 og så en Mambo 4.5.2.3 og se hvad der er sket på få måneder. Tiderne hvor funktionalitet blev indbygget uden videre og uden omtanke for kvalitet er heldigvis overstået nu, synes jeg.
Jeg synes vi skal bedømme Joomla! ud fra version 1.1, som bliver første rigtigt store milepæl.

[solsikkehaven]

Jeg synes der er god grund til, som leverandør af CMS systemer til kunder, at tænke på at lave en vedligeholdelsesplan, f.eks. abonnementsordning eller klippekort eller lign. Jeg har da for mit eget vedkommende tænkt på at sælge et klippekort til brug for f.eks. opdateringer, undervisning, konvertering af billeder, hjælp til yderligere opsætning, rettelser, ændringer osv. osv. - på den måde kan man hente flere tusind kroner ekstra på det produkt man leverer til kunden. Det er ikke for at lyde som en pengemaskine (tro mig, jeg har tjent 0,00 kroner på Joomla! indtil videre, men starter ud nu med eget firma) - og jeg tror mange har behov for den tryghed det giver at have sin leverandør tæt på, også i en pro-aktiv rolle som f.eks. når der bliver udgivet sikkerhedsopdateringer (for det finder folk jo ikke selv ud af, det er der jo nogen - leverandøren - der gerne skulle fortælle dem).

[solsikkehaven]

Du skal da være glad for at de laver arbejde til dig. Det er op til dig at tage for det eller gøre det gratis i en periode. En opdatering som den i dag tager max. 2 minutter så det kunne jo være en fin ting at have med i et tilbud (xx opdateringer gratis inden for de første xx måneder) eller lignende.

Det er som andre skriver en god ting at der kommer opdateringer. Sådan er livet med alt software nu om dage.

Det kan diskuteres om det er for mange opdateringer, men så kan man jo bare installere dem som er sikkerhedrelateret og ikke alle sammen.

Jeg opdaterede 4 sites på mindre end 10 minutter, mens jeg sad og surfede her på forummet imens.

[ot2sen]

Servicemeddelelse til de som stadig anvender mambo 4.5.2.3 

Der er også udgivet en sikkerhedspatch til mambo, som ansvarlige brugere selvfølgelig bør tilføje såfremt de vil undgå problemer.
Kan findes på mamboforum under announcements i toppen.

[oleg]

Spørgsmålet er om der ikke er tale om pseudo-problemer. ALtså hvor mange gange har man reelt haft brug for at sikre sikkerheden på sit lille personlige site?

Jeg forstår godt hvad I siger, men hvem skal betale mig for at sidde og sikre at alle kundernes gamle sites er opdateret, at der findes komponenter til alle de nye versioner osv. Det er nemt nok hvis man bare skal opdatere sine egne 4 sites, men mine kunder takker som regel nej tak til at betale mere end de i forvejen (ikke) gør.

Men, ok, man kan nok ikke få software uden fejl - der er bare allerede 4 opdateringer til den første Joomlaversion - de fleste sikkert pga. af fejl man aldrig ville få - fx. SQL induktion igennem poll komponenten...

Nå, men spændende dialog, I sidder jo stadig på nåle drenge - det er godt at se!

[solsikkehaven]

jeg forstår også godt din pointe, men....

Hvis site er det ? - din kundes eller dit ?
Når du har leveret et site til en kunde, må det være på kundens regning at der udføres opdateringer til sitet.
Indenfor det offentlige og helt sikkert også i mange private virksomheder købes mange, gentager MANGE software pakker med Software Upgrade Insurance, altså hvis der kommer nye opdateringer til programmet indenfor en periode, så har man købt sig til dette på forhånd. Hvis man vælger ikke at tilkøbe Software Upgrade Insurance, så bliver man nødt til at betale "fuld" opgraderingspris på produktet.

Det er altså i bund og grund kundens ansvar alene om de ønsker at opgradere - det er DIN professionelle stolthed der gør at du ønsker at opgradere dem i ligeså høj grad som det er ønsket om at de er sikret mod de exploits der er blevet opdaget siden du afleverede sitet til dem.

Iøvrigt, hvis der ikke er tale om Core Hack, så er alle komponenter fungerende fra Mambo 4.5.2.3 og fremefter, jeg har ikke hørt om et eneste der ikke virker - sålænge vi ikke taler om at det rører ved Core. Det er muligt der er een eller 2 komponenter der måske har problemer derude (ot2sen kan nok godt finde noget *grin*). HVIS der var tale om en opgradering der forårsager at en masse andet end Core skal opdateres, så er sagen en anden - så skal der virkelig vurderes om det kan betale sig at gøre nu, eller måske først gøre senere.

Jeg er klar over at forskellen mellem vores standpunkte er at du ser Joomla opdateringerne ligesom Windows Update patches = gratis patchning, mens jeg ser dem som opgraderinger.

Men faktum er at disse her opdateringer/opgraderinger findes, og vil fortsætte med at komme, så man kan ligeså godt indregne dem i prisen, lave et serviceabonnement eller lignende. Det er nok rigtigt nemt at sige her, sværere at indføre i praksis. Jeg vil ihvertfald, som nævnt tidligere, lave et slags serviceabonnement.

Var det dyvel der lavede et koncept med en månedlig rate og så var alt inkluderet, den har jeg også tidligere tænkt over, så burde man bedre kunne fastholde kunden over længere tid til glæde både for kunden og dyvel/dig/mig.

P.S. Ritt Bjerregaard, som fik over 60.000 personlige stemmer ved det seneste valg, kørte (kører !) på en ældre Mambo installation. Jeg mailede til deres web-ansvarliige om problematikkerne, men fik intet svar, ikke engang en lille mail med at de havde modtaget mailen ! - hvis hun var blevet hacket i valgkampen, kan du regne med at det var kommet på forsiden af Ekstra Bladet. Så jeg er principielt enig - et lille personligt site eller en lille bilforhandler / VVS forretning i Stenløse / Hundested / Vamdrup whatever har nok mindre brug for at være 100% opdateret end et site med mange besøgende.

[hgr]

Der er et problem med den nye opdatering hvis du kører AKReservations.
Det viser sig ved en stribe Javascript fejl når en bruger trykker på Submit knappen.

Løsningen til problemet er offentliggjort på AKReservations forum, og den er som følgende :

Fix when upgraded to Joomla 1.0.4

Fix for 1.0.4

Release 1.0.4 comes with a bug preventing AKR to run correctly
The problem is caused by a call of ampReplace() in content.html.php

To fix while waiting for correction by core-team,
edit components/com_content/content.html.php
line 517

replace 
    echo ampReplace( $row->text );
by
    echo $row->text;


AK



Har afprøvet det og det virker.
Så for at tilmelde mig til debatten, vil jeg bare sige, ja der er lukket mange fejl og lavet nogle nye i version 1.04.
Og sådan vil det altid være for hver opdatering der kommer.

[ot2sen]

Når man opdaterer til Joomla! 1.0.4, og anvender dansk frontend, vil der være enkelte "fejl" ved visning af f.eks. næste/forrige.
Derfor har jeg udgivet en opdateret dansk sprogfil, indeholdende 10 nye linier.

Den kan hentes her: http://joomla.dk/download/cat_view/

[mikl]

Men, ok, man kan nok ikke få software uden fejl - der er bare allerede 4 opdateringer til den første Joomlaversion - de fleste sikkert pga. af fejl man aldrig ville få - fx. SQL induktion igennem poll komponenten...

Der er jo ikke tale om fejl som sådan - der er tale om sårbarheder. Den ovennævnte gør det i korte træk muligt for en hacker at slette og/eller rode i din database hvis du ikke opdaterer og har poll-modulet published.

Det er sådan nogen ting der sætter folk i stand til at hacke andre folks sider. Det kan f.eks være på den måde at Team Gilmore Girls hackede Søren Pinds side. Den slags sårbarheder forekommer desværre temlig ofte ifbm. CMS-systemer