Eine kritische Lücke existiert in den Joomla-Versionen 1.5 bis 3.4.6. Angreifer können über diese Lücke Code einschleusen. Das freie Content-Management-System sollte eigentlich durch das Sicherheitsupdate von vergangener Woche abgesichert sein. Die Ursache der Schwachstelle findet sich allerdings in PHP, wie das Joomla-Team berichtet hat.

Die aktuelle Joomla-Version sollten die Nutzer so schnell wie möglich einspielen, da es bereits einen Exploit gibt und die Sicherheitsforscher von Sucuri haben von ersten Übergriffen berichtet.

Die Joomla-Version 3.4.7 enthält laut den Entwicklern nur das Sicherheitsupdate und keine neuen Funktionen. Zudem wird noch eine von den Entwicklern mit dem Schweregrad leicht eingestuften SQL-Injection-Lücke geschlossen. Der Patch steht für Nutzer der Joomla-Versionen 1.5 und 2.5 zum schließen der kritischen Lücke zur Verfügung.

Joomla-Versionen, die im Zusammenhang mit verwundbaren PHP-Versionen zum Einsatz kommen, sollen ausschließlich bedroht sein. Von der Lücke sollen nicht die PHP-Versionen 5.4.45, 5.5.29, 5.6.13 und 7 betroffen sein. Auch bestimmte Linux-LTS-5.3-Versionen sollen abgedichtet sein.

Daher sollten Admins ihre PHP-Version prüfen und vorsichtshalber hat das Joomla-Team die aktuelle Version 3.4.7 des CMS-Systems mit zusätzlichen Fixes abgesichert.

Angreifer können bei der Art und Weise, wie PHP Sessions in der Datenbank anordnet, ansetzen, um eigenen Code in das CMS einzuschleusen, wie die Kryptologen von Sucuri berichten.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE