zurück zum Artikel

Das Joomla-Team schließt mit Version 3.7.1 eine SQL-Injection-Lücke, die fatale Folgen haben kann. Joomla-Admins sollten zügig reagieren.

In Version 3.7.0 des Content-Management-Systems Joomla klafft eine SQL-Injection-Lücke, durch die Angreifer eigene Datenbankbefehle einschleusen können. Schwachstellen dieser Art können fatale Folgen haben: Ein Angreifer kann häufig etwa den Inhalt der Seite manipulieren und so Schadcode einschleusen oder auf Nutzerdaten zugreifen.

Die Lücke [1] befindet sich im Joomla Core und trägt die CVE-Nummer CVE-2017-8917. Das Joomla-Team hat das Sicherheitsproblem mit dem zweithöchsten Schweregrad "Hoch" bewertet und nennt bisher keine Details – wahrscheinlich, um Nutzer der verwundbaren Version zu schützen.

Jetzt patchen!

Für Abhilfe sorgt die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt [2]. Wer eine betroffene Joomla-Installation betreibt, sollte umgehend auf die aktuelle Version umsteigen. Angreifer können anhand der Änderungen von Version 3.7.0 zu 3.7.1 leicht nachvollziehen, an welcher Stelle es zu der unzureichenden Prüfung eingehender Daten kommt und die Lücke für ihre Zwecke missbrauchen. (rei [3])

URL dieses Artikels:
https://www.heise.de/-3716175

Links in diesem Artikel:
[1] https://developer.joomla.org/security-centre/692-20170501-core-sql-injection.html
[2] https://downloads.joomla.org/
[3] mailto:rei@heise.de

Copyright © 2017 Heise Medien