Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Kritische Sicherheitslücken im CMS-Script Joomla
#1
Betreiber eines auf Joomla beruhenden Content-Managements-Systems wird dringend geraten Ihr System einem Update zu unterziehen, sofern noch nicht geschehen.

Für eine seit ende Dezember bekannte Cross-Site-Request-Forgery-Schwachstelle (CSRF) ist mittlerweile eine Demo im Umlauf, die ermöglicht über eine präparierte Webseite einen Super Admin zu Joomla hinzu zu fügen.

Ein Angreifer könnte hierbei speziellen JavaScript-Code in seiner Seite platzieren und warten, dass der Betreiber eines verwundbaren CMS seine Seite besucht. Der Trick funktioniert aber nur, wenn ein Anwender als Super Admin am CMS angemeldet ist und mit einem weiteren Browserfenster die manipulierte Seite aufruft, die den speziellen Code enthält.

Die Sicherheitslücke ist seit dem 27. Dezember öffentlich bekannt und wurde in Version 1.5 RC4 bereits – neben zwei anderen CSRF-Schwachstellen – geschlossen.

In Version 1.0.13 ist die Lücke indes noch nicht geschlossen. Die Entwickler sollen allerdings an einem Update arbeiten.


Empfehlung:

Bis zur Veröffentlichung der Sicherheitsfixes für die Version 1.0.13 sollten betroffene Anwender bei der Arbeit mit Joomla auf keinen Fall weiteren Browserfenster öffnen.

Berichten zu folgern reicht es nicht aus, dass Fenster nach der Arbeit mit Joomla zu schließen, bevor man andere Seiten besucht. Vielmehr muss der Anwender die Session aktiv beenden, in dem er sich aus dem Backend ausloggt.
Mit freundlichen Grüßen / Best Regards

Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg

Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Zitieren


Nachrichten in diesem Thema
Kritische Sicherheitslücken im CMS-Script Joomla - von ok-webhosting - 11.01.2008, 22:02:26

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste