Tijdens het joomla security Bootcamp is het team van Joomlatools achter een nieuw beveiligings lek gekomen voor de Joomla! 1.5.2 tot en met 1.5.7 versies. Op dit moment is er nog geen officiële patch uitgegeven. Het Joomlatools team heeft daarom besloten om er zelf één uit te brengen.

De reactie van het Core team van Joomla!:

Het is altijd aan te raden om te wachten op een officiële patch ofwel een nood patch of een release die het probleem oplost. In dit geval verwijderd de 3e partij ontwikkelaar (Joomlatools) een hoofd optie die zorgt ervoor dat een site zichzelf kan beveiligen tegen boosaardige aanvallen. Het gebruik van een niet officiële patch kan je site bloot stellen aan onbekende gevaren. Ondersteuning vanuit het core team word er daarom ook niet geboden na het gebruik van niet officiële patches.

Conclusie van het Joomla! core team:

Ondanks dat het lek bestaat verandert dat niets in hun standpunt dat het lek ongevaarlijk genoeg is. Zij zullen het dan ook pas aanpassen bij de normale update naar Joomla 1.5.8 (die niet lang meer op zich zal laten wachten). Zij bevelen dan ook aan om de niet officiële patch NIET te installeren.

Het bericht van Joomlatools is hier te vinden.

Het bericht van het core team is hier te vinden.

Een discussie over dit bericht kan hier worden gevoerd.