Les dernières actualités concernent les mouvements des logiciels open source, le référencement naturel, ainsi que les news importantes du Web.
Les exemples d'interventions et de travaux présentés sont informatifs et non exhaustifs, et ne sauraient représenter notre volume de travail annuel.
Mise à disposition de Joomla 3.9.21
Mise à disposition de Joomla 3.9.21
La version 3.9.21 de Joomla inclut 3 correctifs de vulnérabilité de sécurité et corrige plusieurs bugs, notamment :
Problèmes de sécurité résolus :
Priorité basse - Core - XSS dans mod_latestactions (affectant Joomla! 3.9.0 à 3.9.20).
Priorité basse - Core - Redirection ouverte dans la fonction de vote com_content (affectant Joomla! 3.0.0 à 3.9.20).
Priorité basse - Core - Traversée de répertoire dans com_media (affectant Joomla! 2.5.0 à 3.9.20).
Corrections de bugs et améliorations :
TinyMCE mis à jour. • CodeMirror mis à jour.
Télécharger le fichier de package / Joomla Update : vérification de la taille du fichier de téléchargement ajoutée.
Journal des actions : consigner un événement lorsque Joomla est mis à jour.
IMPORTANT
Une modification du fichier htaccess est à faire sur vos sites après cette mise à jour. En effet, si le package d'installation de la version 3.9.21 est livré avec une règle de sécurité supplémentaire dans le fichier htaccess.txt par défaut, l'équipe de sécurité recommande d'appliquer manuellement les modifications nécessaires à tout fichier .htaccess existant, car ce fichier ne peut pas être mis à jour automatiquement. Cette règle protégera les utilisateurs de fichiers svg des vulnérabilités potentielles de Cross-Site-Scripting (XSS).
Voici les lignes qu'il faut ajouter dans votre fichier htaccess :
<FilesMatch "\.svg$"> 
<IfModule mod_headers.c>
Header always set Content-Security-Policy "script-src 'none'"
</IfModule>
</FilesMatch>
 Nouvelle version 2.8.15 de JCE pour Joomla
Nouvelle version 2.8.15 de JCE pour Joomla
Cette mise à jour corrige un certain nombre de problèmes signalés depuis la dernière version et apporte quelques modifications à la façon dont les attributs d'événement sont gérés.En outre, une mise à jour de sécurité importante est incluse pour empêcher les attaques de script inter-sites potentielles.
Modifications des attributs d'événement
Les attributs d'événement peuvent exécuter du javascript et ne devraient donc être disponibles que pour les utilisateurs de confiance. Dans cette mise à jour et à l'avenir, les attributs d'événement sont désormais désactivés par défaut et seront supprimés du contenu créé ou modifié avec JCE. Les attributs d'événement peuvent être activés avec l'option "Autoriser les attributs d'événement" dans Profils de l'éditeur/Paramètres de l'éditeur/Avancé, ou avec l'option "Autoriser Javascript" dans le même onglet. Si l'option "Autoriser Javascript" est activée, autoriser les attributs d'événement sera automatiquement activé.
Mise à jour de sécurité
Un article récemment publié a démontré que de nombreux éditeurs WYSIWYG populaires étaient et sont vulnérables à une attaque de script intersite lors du collage de contenu copié à partir d'un site malveillant, en tirant parti des attributs d'événement dans le code HTML copié. Comme JCE utilise une version de l'éditeur Tinymce mentionnée dans l'article, il était également vulnérable à cet exploit potentiel. Cette mise à jour résout le problème en supprimant tous les attributs d'événement du contenu collé copié à partir de sources externes, sauf autorisation explicite dans les paramètres du Presse-papiers. En plus de cela, un meilleur traitement des commentaires HTML et des éléments multimédias, et un correctif dans la fonction éCaractères visuelsé, suppriment d'autres instances potentielles pourraient être exécutées par un utilisateur.
 
Nouvelle version 7..2.2 d'Akeeba Backup
Nouvelle version 7.2.0 pour Akeeba Backup
Nouvelle version 7.2.0 pour le composant de sauvegarde Akeeba backup.
Akeeba backup permet de sauvegarder intégralement le contenu de votre site Web ainsi que sa base de données.