CMS: Schwere Sicherheitslücke in Joomla-Installer
Die Joomla-Entwickler haben eine Lücke im Open-Source-CMS gefunden, deren Gefahrenpotenzial sie selbst mit „hoch‟ einstufen: Während der Installation können Angreifer das Content Management System unter ihre Gewalt bringen. Ein Patch steht bereits zum Download zur Verfügung.
Zwölf Jahre alte Lücke als Verursacher
Das massive Sicherheitsproblem betreffe laut den Entwicklern mit der im September 2005 veröffentlichten Versionen 1.0.0 bis zur aktuellen Ausgabe alle Joomla-Veröffentlichungen und blieb demnach rund zwölf Jahre lang unentdeckt. Weitere Informationen bleiben die Entwickler bisher schuldig. Bekannt ist lediglich, dass der Installer allem Anschein nach keine Überprüfung darüber vornimmt, ob der Nutzer wirklich berechtigt ist, das CMS auf dem Webspace zu installieren. Gefährlich ist die Schwachstelle demnach nur während der Installation, ist diese abgeschlossen, besitzen die Angreifer – zumindest über die genannte Lücke – keine Möglichkeit mehr, das System zu übernehmen. In Zukunft soll eine neue Sicherheitsüberprüfung für das Einbinden der Datenbank die Eigentumsverifizierung korrigieren.
Weitere Lücke und über 50 Bugs beseitigt
Eine weitere gefundene Lücke, welche aber als weniger kritisch eingestuft wird, ermöglicht durch eine unzureichende Filterung der HTML-Tags einen Angriff per Cross Site Scripting. Die Schwachstelle betrifft alle Joomla-Einrichtungen ab Version 1.5.0. Weiter haben die Entwickler über 50 Bugs beseitigt, darunter auch einen durch die Nutzung einer multilingualen Webseite auf Basis von PHP 5.3 hervorgerufen Fatal Error.
Schnelle Aktualisierung angeraten
Die Entwickler raten dringend dazu, unverzüglich die zum Download veröffentlichte bereinigte Version 3.7.4 einzuspielen.