Eine eher unangenehme Meldung für alle Joomla Nutzer dürfte eine kürzlich aufgetauchte Sicherheitslücke bedeuten. Mit Ihr soll es möglich sein über einen präparierten Link beliebig auf die Konfiguration und Datenbank zuzugreifen, und diese auch zu ändern. Auch sollen sich unbemerkt Komponenten installieren, und User mit Rechten des Super Administrator anlegen lassen. Alles vollkommen unbemerkt und ohne Nachfrage im Browser des Opfers. Besonders banal, und damit auch gefährlich, sind leider die Grundlagen die ein Hack auf diese Art benötigt. So muss die betreffende Person nur im Backend angemeldet sein und sich gleichzeitg auf einer präparierten Seite befinden. Sogar ein manipuliertes Bild innerhalb eines öffentlichen Forum soll bereits erfolgreich sein. Entdeckt wurde diese Lücke von "Zinho" der ganz bewußt keinen Code in seiner Meldung veröffentlicht hat. Phil Taylor machte sich dann den Spaß (nach Rücksprache) die Lücke an einer Live Site von Andrew Eddie ([masterchief], seines Zeichens Lead Developer beim Joomla-Core-Team) zu nutzen. Da dies erfolgreich verlief, und es ungefragt einen Admin mehr auf seinem Projekt gab, dürfte ihm die volle Aufmerksamkeit des Core Team sicher sein. Betroffen sind alle Versionen der 1.0.x und alle Versionen der 1.5 bis auf die aktuelle RC4. Der Patch für die 1.0.x ist in Arbeit (aktuelle SVN) und wird zur Zeit auf allfällige neue/zusätzliche Bugs getestet.
Bis der Patch erscheint kann man diesem Problem recht einfach aus dem Wege gehen. So reicht es sich nicht auf anderen Seiten zu bewegen so lange das Backend offen ist! Wichtig ist auch das man dafür sorgt das die jeweilige Session auch geschlossen wird. Dazu bitte immer explizit aus dem Backend ausloggen und nicht einfach nur das Fenster schließen. Sollte es einen offiziellen Patch oder Neuigkeiten geben halten wir euch selbstverständich auf dem Laufenden.
| < Zurück | Weiter > |
|---|
