Auszug aus der Original Ankündigung auf joomla.org:
Im Anschluss an die Veröffentlichung von Joomla! 1.5.1 [Seenu], sind wir froh, Ihnen die Veröffentlichung von Joomla! 1.0.14 [Daybreak] bekannt zu geben. Diese Version wurde ausgelöst durch die Cross-Site-Scripting Probleme, die unter gewissen Umständen auftreten konnten. Wir haben auch noch viele andere allgemeine Bugs und Probleme behoben.
Dieses Release schliesst ernsthafte Sicherheitslücken. Sie sollten das Update zuerst auf einer Backup-Kopie Ihrer Website testen. Sobald Sie sich vergewissert haben, dass Ihre Website wie erwartet funktioniert, empfehlen wir Ihnen die Livesite so bald wie möglich zu aktualisieren.
Joomla! 1.0.14 behebt etliche Sicherheitslücken die seit der letzten Veröffentlichung von Joomla! 1.0.13 entdeckt wurden. Nach ausführlichen Tests an einem Backup oder einer Testumgebung Ihrer original Webseite, sollten Sie Ihre Live-Seite unbedingt auf die Version 1.0.14 aktualisieren. Nebst den unten aufgeführten Sicherheitslücken wurden noch andere Probleme in dieser Ausgabe behoben.
Behobene Sicherheitslücken
- RISIKO [NIEDRIG]: XSS Lücke in der Suchkomponente behoben
- RISIKO [NIEDRIG]: XSS Lücke auf der Suchergebnisseite behoben
- RISIKO [NIEDRIG]: Verbietet das Hinzufügen einer extra Wildcard durch die Benutzer in die Suchzeichen
- RISIKO [NIEDRIG]: behoben, mehrere Typos im Backend der Inhaltskomponente, machten den Integercheck unwirksam
- RISIKO [NIEDRIG]: behoben, Gross- & Kleinschreibung im Eingabefilter
- RISIKO [HOCH]: behoben, CSRF Lücke welche den Zugriff auf die Administratorkomponenten ermöglicht
Weitere wichtige Fehlerbereinigungen
- Administrator Logoutproblem
- Fixed bug in der Suchkomponente wo klein geschriebene Wörter nicht richtig gefiltert werden
- Verbesserte Effizienz von regulären Ausdrücken bei Verwendung der Suchkomponente (und damit Reduzierung der CPU Ressourcen auf dem Server bei der Abfrage)
- Vorschaulink im Administrator Templatebereich (wie bei der Version 1.5) ergänzt
- Fixed Fehler in der Seiteneinteilung der Links (ein extra Leerschlag zum Link wurde eingesetzt)
- Verschiedene Kern API fixes