SECUNIA ADVISORY ID:
SA21288
VERIFY ADVISORY:http://secunia.com/advisories/21288/CRITICAL:
Highly critical
IMPACT:
System access
WHERE:
>From remote
SOFTWARE:
Colophon 1.x (component for Joomla)
http://secunia.com/product/11188/DESCRIPTION:
Drago84 has discovered a vulnerability in the Colophon component for
Joomla, which can be exploited by malicious people to compromise a
vulnerable system.
Input passed to the "mosConfig_absolute_path" parameter in
administrator/components/com_colophon/admin.colophon.php is not
properly verified before being used to include files. This can be
exploited to execute arbitrary PHP code by including files from local
or external resources.
Successful exploitation requires that "register_globals" is enabled.
The vulnerability has been confirmed in version 1.1 and reported in
version 1.2. Other versions may also be affected.
SOLUTION:
Edit the source code to ensure that input is properly verified.
Set "register_globals" to "Off".
PROVIDED AND/OR DISCOVERED BY:
Drago84
ORIGINAL ADVISORY:http://milw0rm.com/exploits/2085
เหลืออีกเพียง 3 วันเท่านั้น ก็จะถึงงาน JoomlaDay Bangkok 2008 รวมพลคนใช้จูมล่าในประเทศไทยครั้งที่ 2 จากกระแสตอบรับที่ดีมากของกลุ่มผู้ใช้จูมล่าในประเทศไทย จนถึงขณะนี้ยังทยอยลงทะเบียนกันมาอยู่เรื่อยๆ ทำให้ยอดลงทะเบียนเกือบเต็มความจุที่ 300 ที่นั่งและทีมงานได้ปิดรับสมัครไปแล้วเมื่อวันที่ 5 พ.ค. อย่างไรก็ตามเนื่องจากช่วงวันหยุด 3 วันที่ผ่านมา หลายคนไม่สะดวกที่จะทำการลงทะเบียน และชำระเงินค่าบัตรผ่านประตู ทีมงานจึงได้ขยายเวลาสำหรับการลงทะเบียน และชำระเงินไปจนถึงวันที่ 8 พฤษภาคม 2551 สำหรับท่านใดที่ลงทะเบียนเรียบร้อยแล้ว สามารถตรวจสอบรายชื่อได้ที่ 
ผลตอบรับดีเกินคาด JoomlaDay Bangkok 2008 วันรวมพลคนใช้จูมล่าในประเทศไทยครั้งที่ 2 เปิดรับเพิ่มอีก 100 ที่นั่ง
ทีมจูมล่า ได้ประกาศ ออกรุ่นใหม่ของจูมล่า 1.5 วันนี้ โดยเป็น Joomla! 1.5.3 [Vahi]. เวอร์ชันนี้ ได้ออกมาตามตารางเวลาที่ได้กำหนดไว้ โดยได้แก้ไขข้อผิดพลาด และทดสอบความถูกต้องต่างๆ ที่ได้มีการแจ้งไว้ ในเวอร์ชัน 1.5.2
