Wenn Sie Joomla einsetzen, führen Sie unbedingt sofort ein Update aus. Nutzen Sie die Version 3.4.6, mit der eine Sicherheitslücke gestopft wird. Auch die von goneo als clickStart Version eingesetzte Variante ist nun die mit der Versionsnummer 3.4.6.
Alte Versionen ab 1.5 sind durch die aktuell entdeckte Sicherheitslücke ebenfalls verwundbar. Es gibt Sicherheitspatches für Versionen, die End of Life – Status (EOL) haben, also nicht mehr weiterentwickelt werden. Diese sollte man als Seitenbetreiber, der Joomla einsetzt, dringend sofort einspielen.
In einer Ankündigung der Entwickler von Joomla heißt es, durch einen Fehler bei der Filterung von Browserinformationen kann fremder Code zur Ausführung gebracht werden. Die Dringlichkeit ist auf „hoch“ eingeschätzt worden.
Joomla 3.4.5 ist erschienen – und behebt eine kritische Sicherheitslücke
Das angekündigte Update für Joomla 3 ist erschienen. Es trägt die Versionsnummer 3.4.5. In dieser Version ist eine kritische Sicherheitslücke behoben worden, die bisher nach Auskunft von Joomla zu noch keinem großen Schaden geführt hat, aber das Potential dazu hat.
Über Github ist die neue Version verfügbar. Es gibt Downloads für frische Installationen und Updates für bestehende Versionen.
Über den integrierten Updater sollte sich die bestehende Version auf 3.4.5 komfortabel vornehmen lassen.
Joomla und auch wir von goneo empfehlen allen Nutzern von Joomla 3.2 oder höher eine schnellstmögliche Nutzung dieser Updatemöglichkeit. Jetzt, wo der Sicherheitspatch verfügbar ist, lässt sich auch erkennen, wo die Schwachstelle liegt und wie sie ausgenutzt werden kann. Es ist also damit zu rechnen, dass nun viele Hacker Skripte schreiben, die bestehende Joomla-Installationen auf Schwachstellen scannt und diese ausnutzt.
So funktioniert das Update am einfachsten:
Loggen Sie sich in Ihre Joomla-Installation ein (durch Anhängen von „administrator“ an die URL zu Ihrer Joomla-Website). Im Normalfall sehen Sie bereits nach dem Login auf dem Dashboard einen entsprechenden Hinweis:
Im Regelfall können Sie durch einen einfachen Klick die Installation des Updates ausführen lassen. Dies dauert nur wenige Sekunden (eventuell Minuten, je nach Internetverbindung und Auslastung der Downloadserver).
Danach sollten Sie die Erfolgsmeldung sehen:
Angriffsziel WordPress
Wir sehen derzeit ständig Angriffe auf Websites, die von Kundenwebsites ausgehen. Gerade WordPress-Installationen werden zur Zeit offenbar gerne genutzt, um damit Brute-Force-Angriffe auf fremde Seiten zu fahren. Teilweise werden uns solche Angriffe auch über unseren Abuse-Kontakt von den Betreibern der Opferseiten gemeldet.
„Angriffsziel WordPress“ weiterlesen