Joomla 3.6.5 tärkeä päivitys

www.joomla.org/announcements/release-news/5693-joomla-3-6-5-released.html

Kun koetan päivittää uuteen versioon, suomenkielinen Joomla herjaa, että tiedostoa ei löydy: virheilmoitus 404.
Mikähän neuvoksi..?

Sain palveluntarjoajaltani viestin:

Hei,

Olemme havainneet haavoittuvaisuuksia webhotellipakettisi PHP-skripteissä. Haavoittuvaisuuksien hyväksikäytön estämiseksi nämä tulisi korjata mahdollisimman nopeasti. Tämä koskee seuraavia haavoittuvaisuuksia:

Command Injection haavoittuvuus ohjelmassa PHPMailer
/home/***nimi***/public_html/fi/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php


Joomlan hallinnassa on kuitenkin ilmoitus: "Sinulla Joomlan on uusin versio" Olen 15.12.2016 päivittänyt versioon 3.6.5

Mitä pitäisi tehdä?

Linkkaa niille tämä:
developer.joomla.org/security-centre/668-20161205-phpmailer-security-advisory.html

"Solution
No action required for Joomla users, the updated library will be included in the next scheduled release and additional mechanisms exist in Joomla core to prevent triggering the vulnerability. Users of the PHPMailer library separate from Joomla are advised to upgrade to 5.2.18 or newer ASAP."

Jos oikein ymmärsin niin tuossa sanotaan että haavoittuvuus paikataan vasta (will be included in the next scheduled release ) seuraavan päivityksen yhteydessä. Vastaavanlainen viesti tuli koskien Worpressin class-phpmailer.php -tiedostoa. Tuo uhka siis lymyilee kunnes päivitys saadaan.

Kyllä, mutta sen hyväksikäyttö Joomlan kautta on sen verran epätodennäköistä ja hankalaa, koska Joomlan omat filtterit ovat siinä välissä, etteivät koe tarpeelliseksi tehdä tähän välille mitään pikapaikkausta.

"After analysis, the JSST has determined that through correct use of the JMail class, there are additional validations in place which make executing this vulnerability impractical within the Joomla environment. As well, the vulnerability requires being able to pass user input to a message’s “from” address; all places in the core Joomla API which send mail use the sender address set in the global configuration and does not allow for user input to be set elsewhere. "