+- ok-webhosting Forum (https://forum.ok-webhosting.de)
+-- Forum: Allgemein (https://forum.ok-webhosting.de/forumdisplay.php?fid=3)
+--- Forum: Security (https://forum.ok-webhosting.de/forumdisplay.php?fid=10)
+--- Thema: Joomla :: mehrere Sicherheitslücken in Joomla bis Version 3.4.5 (3.4.6 / siehe Update) (/showthread.php?tid=725)
Joomla :: mehrere Sicherheitslücken in Joomla bis Version 3.4.5 (3.4.6 / siehe Update) - ok-webhosting - 16.12.2015
Technische Warnung des Bürger-CERT
----------------------------------
TECHNISCHE WARNUNG TW-T15/0116
Titel: Sicherheitsupdate für Joomla!
Datum: 15.12.2015
Risiko: hoch
ZUSAMMENFASSUNG
Joomla! schließt mit dem aktuellen Sicherheitsupdate mehrere
Sicherheitslücken, die es einem Angreifer aus dem Internet ermöglichen,
beliebige Befehle einzuschleusen und auszuführen und damit erheblichen
Schaden auf dem betroffenen Joomla!-System anzurichten.
BETROFFENE SYSTEME
- Joomla!
- Joomla! ab 1.5.0
- Joomla! bis einschließlich 3.4.5
EMPFEHLUNG
Aktualisieren Sie Joomla! über die referenzierte Download-Seite so
schnell wie möglich auf die Version 3.4.6.
BESCHREIBUNG
Joomla! ist ein Content Management System, mit dem Webauftritte und
Internet-Anwendungen erstellt werden können. Es ist einfach zu benutzen
und zu erweitern. Die Software steht unter einer Open Source Lizenz und
ist frei verfügbar.
Joomla! schließt mehrere Sicherheitslücken im Joomla! Content Management
System, die vom Hersteller als kritisch eingestuft werden und die bereits
aktiv für Angriffe ausgenutzt werden.
QUELLEN
- Joomla! Download-Seite
<https://www.joomla.org/download.html>
- Heise Security: Joomla-Version 3.4.6 stopft kritische Sicherheitslücke
<http://www.heise.de/security/meldung/Joomla-Version-3-4-6-stopft-kritische-Sicherheitsluecke-3043699.html>
ACHTUNG !!! Wichtiges Update:
Die veröffentlichte Version 3.4.6 lässt leider immer noch Angriffe auf Joomla-Installationen zu. Erst Version 3.4.7 soll die Lücke nun endgültig schließen.
In den Joomla-Versionen 1.5 bis 3.4.6 klafft eine kritische Lücke, über die Angreifer Schadcode einschleusen können. Eigentlich sollte bereits das Update auf Version 3.4.6 das freie Content-Management-System absichern.
Nutzer sollten die aktuelle Joomla-Version so schnell wie möglich einspielen. Es gibt bereits einen Exploit der laut Sicherheitsforschern auch bereits genutzt wird.
Den Entwicklern zufolge enthält Version 3.4.7 nur das Sicherheitsupdate und keine neuen Funktionen. Zudem wird noch eine SQL-Injection-Lücke geschlossen, die die Entwickler mit dem Schweregrad leicht einstufen. Nutzer der Joomla-Versionen 1.5 und 2.5 steht der Patch zum entfernen der kritischen Lücke demnach ebenfalls zur Verfügung.