Sicherheitsfix für Joomla angekündigt (Version 3.6.4), Dienstag 25.10.2016

Für den Dienstag , 25.10.2016 um 14.00 Uhr ist von Joomla ein wichtiges, sicherheitskritisches Update angekündigt worden. Diese Mitteilung wurde vom Joomla! Security Strike Team (JSST) verbreitet. Es soll sich um ein Sicherheitsproblem im Joomla-Kern handeln. Noch will JSST keine Einzelheiten herausgeben, empfiehlt jedoch aktuell, sich auf ein Update vorzubereiten.

https://www.joomla.org/announcements/release-news/5677-important-security-announcement-pre-release-364.html

Zudem ist noch unklar, welche Versionen unter welchen Bedingungen (z.B. PHP-Version) betroffen sind. Joomla spricht von einer Version 3.6.4, die am Dienstag erscheinen soll und den Fix enthält. Als Vorbereitung kann man ein Backup der jetzigen Installation herstellen, die MySQL-Datenbankihalte sichern und sich am Veröffentlichungstag etwa eine Stunde Zeit nehmen.

Kommentare

  • Das Update ist soeben erschienen. Es enthält einen wichtigen Fix für eine Sicherheitslücke.
    https://github.com/joomla/joomla-cms/releases/tag/3.6.4

    Ein Sicherheitsforscher wandte sich vergangene Woche an Joomla und wies darauf hin, dass ein nicht mehr verwendter Controller Task (in Joomla 3.4.4 bis 3.6.3) es ermöglichte, neue User anzulegen, auch wenn die Möglichkeit dafür deaktiviert wurde. Mit einem HTTP-Aufruf konnte ein User auch Administrator werden.

    Damit wäre dann voller Zugriff auf das Backend (den Adminbereich) von Joomla möglich. Der Patch entfernt den besagten Controller. Die Sicherheitslücke ist vergleichsweise einfach auszunutzen, daher sollte man SOFORT updaten.
Anmelden oder Registrieren, um zu kommentieren.