In Version 3.7.0 des Content-Management-Systems Joomla klafft eine SQL-Injection-Lücke, die es Angreifern ermöglicht eigene Datenbankbefehle einzuschleusen. Die fatale Folge von Schwachstellen dieser Art ist, dass ein Angreifer häufig etwa den Inhalt der Seite manipulieren und so auf Nutzerdaten zugreifen oder Schadcode einschleusen kann.

Die Lücke trägt die CVE-Nummer CVE-2017-8917 und befindet sich im Joomla Core. Das Joomla-Team nennt bisher - wahrscheinlich, um Nutzer der verwundbaren Version zu schützen - keine Details und hat das Sicherheitsproblem mit dem zweithöchsten Schweregrad "Hoch" bewertet.

Auf der Projektseite kann die, für Abhilfe sorgende, abgesicherte Version 3.7.1 heruntergeladen werden. Betreiber betroffener Joomla-Installation sollten entsprechend umgehend auf diese Version umsteigen, da Angreifer anhand der Änderungen von Version 3.7.0 zu 3.7.1 leicht nachvollziehen können, an welcher Stelle es zu der unzureichenden Prüfung eingehender Daten kommt um die Lücke dann für ihre Zwecke zu missbrauchen.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE