Verschiedene Institutionen wie das US-CERT warnen vor einer Sicherheitslück im Media Manager Modul von Joomla! Betroffen seien die Versionen vor (bis einschließlich) 2.5.13 sowie vor (bis einschließlich) 3.1.4 .
Eine entsprechende Meldung gibt es auch im Joomla! Developer Network . Demnach wurde die Lücke im Sommer schon gefixt, aber Anwender müssen ein Update einspielen.
Lücke im Media Manager
Aufgrund der gefundenen Lücke lassen sich mit dem Media Manager Inhalte hochladen. Das ist insbesondere dann gefährlich, wenn der Media Manager öffentlich ohne weitere Authentifizierung zugänglich ist. Durch ein „.“-Zeichen am Ende des Dateinamens wird die Überprüfung des Uploads ausgehebelt.
Dabei kann es sich um Inhalte handeln, die auf dem Server eine Schadwirkung entfalten können. Somit ist es denkbar, dass Unbefugte die Joomla!-Installation und damit den Webhosting – Account kontrollieren können oder der Server so veranlasst wird, Schadcode auszuliefern, wenn die Website mit der entsprechenden Domain aufgerufen wird.
Informationen zu Sicherheitsaspekten von Content Management Systemen vom BSI
Bei dieser Gelegenheit möchten wir auf die Veröffentlichung des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) hinweisen. Auch der Website des BSI gibt es eine Studie zu weit verbreiteten Content Management Systemem wie Joomla!, WordPress, Typo3. Das BSI gibt ausgehend von typischen Nutzungsszenarien wie „private Event-Website“ konkrete Handlungsempfehlungen, wie man als Webmaster Bedrohungen entgegegnen kann.
So können Sie Joomla!3.x bei goneo aktualisieren
Joomla! 3.0.x lässt sich aus der Anwendung heraus updaten. Wahrscheinlich müssen Sie das Eingabefeld „Eigene URL“ verwenden, um eine funktionierende Updatequelle angeben zu können. Als Updatequelle hat in unserem Test Sie http://joomlacode.org/gf/download/frsrelease/18262/80088/Joomla_3.1.0-Stable-Update_Package.zip sehr gut funktioniert.
Die Möglichkeit dazu finden Sie unter dem Menüpunkt „System“ > „Konfiguration“ > „Joomla! Aktualisierung“.Sie können für Joomla! Updates auf goneo-Accounts für den Updateprozess die Option „Code direkt schreiben“ verwenden.