Upgraden naar Joomla 1.0.11 Stable

Om van Joomla 1.0.3 te upgraden naar 1.0.11 is noodzakelijk vanwege security redenen.

Zie bijgaand een beschrijving van zo'n actie:

 

Instructie

 

 

 

Upgrade instructies:

 

  • Download het juiste bestand onderaan deze pagina.
  • Unzip het bestand op uw computer.
  • Sla de bestanden op in een map op uw computer.
  • Zet uw site offline (log in als admin, en zet Site -> Global Configuration -> Site Offline op Ja of Yes)
  • Open uw ftp programma en ga naar de map waarin uw (huidige) Joomla 1.0.x staat.
  • Kopieer alle bestanden van uw computer naar de map op de server. (U overschrijft de oude bestanden)
  • Zet uw site weer online (log in als admin, en zet Site -> Global Configuration -> Site Offline op Nee of No)
  • Controleer de versie (admin -> System -> System Info)
  • Joomla 1.0.11 is geinstalleerd!

 

 

 

Extra instructies

 

Het kan zijn dat u op de backend van Joomla een of meerdere meldingen krijgt van instellingen die niet goed staan. Hieronder staat hoe u dit op kan lossen.

Joomla! RG_EMULATION setting is `ON` instead of `OFF` in file globals.php

 

  • Log in op uw FTP
  • Ga naar de map waar uw Joomla staat.
  • Download het bestand globals.php naar uw eigen computer.
  • Open dit bestand met een tekst editor zoals Notepad (kladblok).
  • Zoek de tekst: define( 'RG_EMULATION', 1 );
  • Verander de 1 in een 0 (nul).
  • Sla het bestand op.
  • Upload het bestand naar de map waar uw Joomla staat.
  • Log opnieuw in op de Joomla backend en de melding is verdwenen.

 



Al langer klant bij Byte?
Voor pakketten die voor 5 september 2006 zijn aangemaakt bij Byte dient u ook de 3 hieronder staande stappen te doorlopen. Is uw pakket na 5 september 2006 aangemaakt dan hoeft u deze stappen niet te doorlopen. Nieuwe pakketten hebben al de correcte instellingen. Doe de stappen in de volgorde zoals hieronder aangegeven, anders werken ze niet direct.

 

CGI mode

 

Om een correcte werking van Joomla te garanderen dient u uw site in CGI mode te draaien. Dit gebeurde eerst doormiddel van een regel in het .htaccess bestand maar nu dient dit via het Service Panel te worden ingesteld:

 

  • Log in op het Service Panel met uw klantnummer en klantwachtwoord.
  • Klik op de domeinnaam waarvan u zojuist de upgrade heeft uitgevoerd
  • Klik op 'PHP'.
  • Zorg dat bij de vraag 'Welke versie van PHP wilt u?' de optie 'PHP 4 CGI' staat aangevinkt.
  • Na 10 minuten is de nieuwe instelling op alle servers actief.

 

 

 

Foutieve instellingen

 

Als u nu inlogt op uw Joomla backend ziet u mogelijk 3 meldingen over instellingen, die niet in orde zijn. Hieronder staat voor elk van de foutmeldingen een oplossing

PHP magic_quotes_gpc setting is `OFF`instead of `ON`

 

  • Log in op het Service Panel met uw klantnummer en klantwachtwoord.
  • Klik op de domeinnaam waarvan u zojuist de upgrade heeft uitgevoerd
  • Klik op 'PHP'.
  • Klik op 'On' bij de 'magic_quotes_gpc' instelling
  • Na 10 minuten is de melding verdwenen.

 


PHP register_globals setting is `ON` instead of `OFF`

 

  • Log in op het Service Panel met uw klantnummer en klantwachtwoord.
  • Klik op de domeinnaam waarvan u zojuist de upgrade heeft uitgevoerd
  • Klik op 'PHP'.
  • Klik op 'Off' bij de 'register_globals' instelling
  • Na 10 minuten is de melding verdwenen.

 


Joomla! RG_EMULATION setting is `ON` instead of `OFF` in file globals.php

 

  • Log in op uw FTP
  • Ga naar de map waar uw Joomla staat.
  • Download het bestand globals.php naar uw eigen computer.
  • Open dit bestand met een tekst editor zoals Notepad (kladblok).
  • Zoek de tekst: define( 'RG_EMULATION', 1 );
  • Verander de 1 in een 0 (nul).
  • Sla het bestand op.
  • Upload het bestand naar de map waar uw Joomla staat.
  • Log opnieuw in op de Joomla backend en de melding is verdwenen.

 


Meer informatie over deze upgrade staat op het Joomla Forum

 

 Zie onderin dit topic hoe de .htaccess wordt aangepast

Verander de .htaccess

Plak de volgende code in .htaccess:

php_flag register_globals off
#register_globals is now turned off for your whole site and all sub-folders.
 

 

 
http://tweakers.net/meuktracker/13437/Joomla!-1.0.11.html

 

 Joomla! 1.0.11

 

Door Robin Vreuls - dinsdag 29 augustus 2006 15:51 - Bron: Joomla! - Submitter: Freddyboeke - Views: 5.361

 

Allan62 heeft op de site van Joomla! gezien dat er zojuist een kritieke beveiligingsupdate is uitgebracht van de content management system, waardoor de software is aangekomen bij versienummering 1.0.11. Gebruikers van dit softwarepakket worden aangeraden om te upgraden naar deze nieuwe 1.0.11-release, omdat er in de voorgaande versie vier 'high Level vulnerabilities' gevonden zijn. De developers hebben meteen van de gelegenheid gebruikgemaakt om een aantal andere bugs op te lossen. Welke lekken precies gevonden zijn kan nagelezen worden in dit document. Hieronder zijn de release notes van Joomla! 1.0.11 gepost:

 

 

 

Joomla! 1.0.11 [ Sunbird ] is now available as of Monday 28th August 2006 24:00 UTC for download and is being designated a Critical Security Release.

 

All existing Joomla! users MUST UPGRADE to this version, due to several High Level vulnerabilities that affect ALL Previous versions of Joomla!

 

1.0.11 contains the following critical security fixes:

 

  • 04 High Level Security Fixes
  • 04 Medium Level Security Fixes
  • 18 Low Level security
  • 25 General bug fixes

 

If you are using ANY previous version of Joomla!, you need to upgrade to 1.0.11 as soon as possible.

 


[*]Versienummer: 1.0.11
[*]Download: http://forge.joomla.org/sf/frs/do/viewRelease/projects.joo...
[*]Bestandsgrootte: 2,65MB
[*]Licentietype: Voorwaarden (GNU/BSD/etc

 

 

 

 

 

Joomla meld nu dat de volgende setting niet meer als optimaal wordt gezien.

Following PHP Server Settings are not optimal for Security and it is recommended to change them:

PHP register_globals setting is `ON` instead of `OFF`
Please check the Official Joomla! Server Security post for more information.

Ik kan deze niet wijzigen en ik weet niet of deze bij jullie bekend is.

 

Je kunt dit wijzigen door in de map public_html een bestand met de naam php.ini te plaatsen en als inhoud:

[php]

register_globals = off;

 

aanpassing in de root dir van het domein.
regeltoepassen in .htaccess

"php_flag register_globals off"

 

“ php_value register_globals 0”


 

 

FAQ: How to protect a site using .htaccess and mod_rewrite

« on: October 06, 2006, 10:56:35 PM »

 

 


 

Introduction
RobS created a set of mod_rewrite conditions that you can tag onto the end of your .htaccess files that will block a good number of common exploit attempts while interferring as little as possible with legitimate usage.

Each server configuration is unique. You will know if these settings work correctly/incorrectly on your site if you are forwarded to your home page and receive a 403 Forbidden error. If a particular rule breaks some feature of your site, just comment it out by placing a # in front of the offending rule.

Note: As of Joomla! version 1.0.11, these settings are included in the file, htaccess.txt (no dot in filename) which is automatically added to your site during the install.

Discuss this FAQ here.

Directions
Append to .htaccess in the same directory as your index.php file.


php_flag register_globals off
#register_globals is now turned off for your whole site and all sub-folders.

 

Code:

 

########## Begin - Rewrite rules to block out some common exploits

#                             

# Block out any script trying to set a mosConfig value through the URL

RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]

# Block out any script trying to base64_encode crap to send via URL

RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]

# Block out any script that includes a <script> tag in URL

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

# Block out any script trying to set a PHP GLOBALS variable via URL

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

# Block out any script trying to modify a _REQUEST variable via URL

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

# Send all blocked request to homepage with 403 Forbidden error!

RewriteRule ^(.*)$ index.php [F,L]

#

########## End - Rewrite rules to block out some common exploits

 

 


verander in je globals.php
de 0 in 1

 

define( 'RG_EMULATION', 1 );

 

Op een ander forum ben ik een fix tegengekomen voor het probleem van Joomlaboard met de setting ('RG_EMULATION', 0).

 

In components/com_joomlaboard/joomlanoard.php
vervang code :

$catid = mosGetParam ( $_GET, 'catid' , '' );
$Itemid = mosGetParam ( $_GET, 'Itemid', '' );
$func = mosGetParam ( $_GET, 'func' , '' );
//If they're not put in with get requests, try post requests else default to value given
if ($catid == '' ) $catid = mosGetParam ( $_POST, 'catid' , '0' );
if ($Itemid == '' ) $Itemid = mosGetParam ( $_POST, 'Itemid', '1' );
if ($func == '' ) $func = mosGetParam ( $_POST, 'func' , 'listcat');

door code:

$catid = mosGetParam ( $_GET, 'catid' , '' );
$Itemid = mosGetParam ( $_GET, 'Itemid', '' );
$func = mosGetParam ( $_GET, 'func' , '' );
if (isset($_GET["id"])) $id = mosGetParam ( $_GET, 'id' , '' ); //BBTEMPFIX
if (isset($_GET["do"])) $do = mosGetParam ( $_GET, 'do' , '' ); //BBTEMPFIX
if (isset($_GET["replyto"])) $replyto = mosGetParam ( $_GET, 'replyto' , '' ); //BBTEMPFIX
if (isset($_GET["page"])) $page = mosGetParam ( $_GET, 'page' , '' ); //BBTEMPFIX
if (isset($_GET["sel"])) $sel = mosGetParam ( $_GET, 'sel' , '' ); //BBTEMPFIX
if (isset($_GET["userid"])) $userid = mosGetParam ( $_GET, 'userid' , '' ); //BBTEMPFIX
if (isset($_GET["pid"])) $pid = mosGetParam ( $_GET, 'pid' , '' ); //BBTEMPFIX
if (isset($_GET["view"])) $view = mosGetParam ( $_GET, 'view' , '' ); //BBTEMPFIX
if (isset($_GET["resubject"])) $resubject = mosGetParam ( $_GET, 'resubject' , '' ); //BBTEMPFIX
if (isset($_GET["rowid"])) $rowid = mosGetParam ( $_GET, 'rowid' , '' ); //BBTEMPFIX
if (isset($_GET["rowItemid"])) $rowItemid = mosGetParam ( $_GET, 'rowItemid' , '' ); //BBTEMPFIX
//If they're not put in with get requests, try post requests else default to value given
if ($catid == '' ) $catid = mosGetParam ( $_POST, 'catid' , '0' );
if ($Itemid == '' ) $Itemid = mosGetParam ( $_POST, 'Itemid', '1' );
if ($func == '' ) $func = mosGetParam ( $_POST, 'func' , 'listcat');
if (!isset($id) && isset($_POST["id"])) $id = mosGetParam ( $_POST, 'id' , ''); //BBTEMPFIX
if (!isset($do) && isset($_POST["do"])) $do = mosGetParam ( $_POST, 'do' , ''); //BBTEMPFIX
if (!isset($replyto) && isset($_POST["replyto"])) $replyto = mosGetParam ( $_POST, 'replyto' , ''); //BBTEMPFIX
if (!isset($parentid) && isset($_POST["parentid"])) $parentid = mosGetParam ( $_POST, 'parentid' , ''); //BBTEMPFIX
if (!isset($action) && isset($_POST["action"])) $action = mosGetParam ( $_POST, 'action' , ''); //BBTEMPFIX
if (!isset($contentURL) && isset($_POST["contentURL"])) $contentURL = mosGetParam ( $_POST, 'contentURL' , ''); //BBTEMPFIX
if (!isset($sb_authorname) && isset($_POST["sb_authorname"])) $sb_authorname = mosGetParam ( $_POST, 'sb_authorname' , ''); //BBTEMPFIX
if (!isset($email) && isset($_POST["email"])) $email = mosGetParam ( $_POST, 'email' , ''); //BBTEMPFIX
if (!isset($subject) && isset($_POST["subject"])) $subject = mosGetParam ( $_POST, 'subject' , ''); //BBTEMPFIX
if (!isset($topic_emoticon) && isset($_POST["topic_emoticon"])) $topic_emoticon = mosGetParam ( $_POST, 'topic_emoticon' , ''); //BBTEMPFIX
if (!isset($message) && isset($_POST["message"])) $message = mosGetParam ( $_POST, 'message' , ''); //BBTEMPFIX
if (!isset($subscribeMe) && isset($_POST["subscribeMe"])) $subscribeMe = mosGetParam ( $_POST, 'subscribeMe' , ''); //BBTEMPFIX
if (!isset($attachimage) && isset($_FILES['attachimage'])) $attachimage = mosGetParam ( $_FILES['attachimage'], 'name', ''); //BBTEMPFIX
if (!isset($attachfile) && isset($_FILES['attachfile'])) $attachfile = mosGetParam ( $_FILES['attachfile'], 'name', ''); //BBTEMPFIX
if (!isset($sb_thread) && isset($_REQUEST["sb_thread"])) $sb_thread = mosGetParam ( $_REQUEST, 'sb_thread' , ''); //BBTEMPFIX
if (!isset($thread) && isset($_REQUEST["thread"])) $thread = mosGetParam ( $_REQUEST, 'thread' , ''); //BBTEMPFIX
if (!isset($markaction) && isset($_POST["markaction"])) $markaction = mosGetParam ( $_POST, 'markaction' , ''); //BBTEMPFIX

Omdat ik tegen dit probleem aanliep direkt na de installatie heb ik het nog niet volledig kunnen testen, maar het lijkt in elk geval te werken.
In de volgende update van Joomlaboard zal het probleem verholpen zijn, maar tot dan kom je met deze fix een heel eind zonder je register globals emulation aan te hoeven zetten.
Ben je meteen ook van die lelijke foutmelding in je backend af!