Vulnerable Extension List Rss Feed Launchedとして脆弱性のある（または、あった）エクステンションのリストが、本家Joomla.orgのdocs.joomla.orgで公開されました。（前から少しあったかな・・・）

Joomla!をお使いの方は、ほとんどの方が少なからずサードパーティーのエクステンションを利用されているでしょうから、日々RSSを読んでいる方もそうでない方も更新のチェックをするようにしましょう。

iLogScannerで解析してみました。徐々にアクセス数が増えているが、それは攻撃数だろうかと思ってみたり・・・。

今回は、攻撃に成功した可能性の高い件数が7件でした。先月もあったのでもうびっくりしません。ログを見てみると案の定SQLインジェクションとはほど遠いものが6件と、インストールしてもいないコンポーネントへのインジェクション攻撃が１件でした。心配ない・・・。

このサイトで使用しているエクステンションを画像で表してみました。(ex)と書いてある物は、元を改造しているものです。

もちろん記事を表示しているのは、JContentPlusです。

トップで表示しているのは、random_contentなのでPICKUPとタイトルには書かれていますが、実際には、指定されたカテゴリー内でランダムに記事を表示しています。

以前に、知らぬ間に古い記事を読まされていると言われた事がありますが、まさにその通り、うちの場合、Joomla!1.0の記事だったりするので注意が必要です。

さすがに、新規サイトを構築するにあたり、Joomla!1.0で構築する方は、減ったと思いますが、うちのサイトは、元々Joomla!1.0で構築されていたので以前の記事には、Joomla!1.0のことが多いです。1.5化するときに分けたら良かったですね。

システムとしては、Joomla!もそのひとつ、エクステンションはたくさんありすぎてどれが欲しい機能を満たすものかは、試していかないと実際わかりません。また、GPLや、たとえそうでないライセンスのものがあっても、それがおのおのの環境での完動品かどうかは、また別の問題です。（それは、うちのエクステンションにも言えること）

インストールは、簡単にできてもそれが、果たしてセキュリティ面でも大丈夫なのか？

それは、どんなシステム、エクステンションに限らず同じようについてまわる問題だと思います。システムが多機能になれば、なるほど発生する問題ですよね。

でも、そのすべてを検証することは、非常に難しいことです。

昨日アップデートされています。

http://extensions.joomla.org/extensions/90/details

普段Joomla本体ばかりですが、エディタ関係は、みなさんお使いだと思うので書きました。セキュリティリリースなのでアップデート必須と思います。

少し前にFCK Editorそのものの脆弱性が公表されていましたが、それに伴うアップデートだと思います。