Die Joomla-Entwickler haben für ihr quelloffenes Content Management System ein dringendes Update veröffentlicht. Sie stopfen mit Joomla 3.4.5 drei Lücken, unter denen sich eine kritische SQL-Injection-Lücke befindet, die es allem Anschein nach Angreifern erlaubt, Joomla-Installationen zu kapern. Die Joomla-Versionen 3.2 bis einschließlich 3.4.4 sind betroffen – ältere Versionen sind dagegen nicht anfällig. Allen Admins wird empfohlen, das entsprechende Update so schnell wie möglich einzuspielen.

Die SQL-Injection-Lücke wird unter den CVE-Nummern CVE-2015-7297, CVE-2015-7857 und CVE-2015-7858 geführt. Am 15. Oktober wurde sie vertraulich an die Entwickler gemeldet und wird nun, genau eine Woche später, geschlossen. Zwei weitere Lücken erlauben Joomla-Nutzern ohne die entsprechenden Berechtigungen den Zugriff auf versteckte Inhalte, diese werden ebenfalls mit dem Update gestopft. Es handelt sich dabei um Bugs bei der Überprüfung von Zugangskontroll-Listen (ACLs).

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE