zurück zum Artikel

Über manipulierte HTTP-Requests kann ein Angreifer die Beiträge anderer Nutzer ändern. Ein Update gibt es nicht.

Nur zwei Wochen nach Veröffentlichung der finalen Version 1.5 des CMS Joomla! [1] melden die Entwickler eine Schwachstelle, die es Angreifern ermöglicht, die Beiträge von Nutzern zu manipulieren und zu löschen. Dazu genügt es, manipulierte HTTP-Request an den Server zu senden. Der Fehler tritt nur auf, wenn das Plug-in für die XML-RPC-Blogger-API aktiviert ist.

Einen ähnlichen Fehler meldete [2] kürzlich schon WordPress im Zusammenhang mit XML-RPC. Dort war für einen erfolgreichen Angriff ein gültiges Nutzerkonto erforderlich. Ob dies bei Joomla ebenfalls nötig ist, ist unbekannt. Erfahrungsgemäß sind bei Sicherheitsproblemen mit XML-RPC noch weitere Blogs, Wikis und Content-Management-Systeme betroffen. Es ist mit weiteren Fehlerberichten von Herstellern zu rechnen.

Ein offizielles Update 1.5.1 gibt es noch nicht, es ist nach Angabe der Entwickler aber bereits in Arbeit und soll neben der Schwachstelle noch andere Fehler beheben. Bis dahin empfiehlt das Joomla-Team, das verwundbare Plug-in zu deaktivieren. Alternativ sollen die Fehler auch bereits im Subversion-Repository behoben sein.

Siehe dazu auch:

• Security announcement for 1.5 [3], Fehlerbericht im Joomla! Team Blog

(dab [4])

URL dieses Artikels:
https://www.heise.de/-176480

Links in diesem Artikel:
[1] http://www.joomla.org/
[2] https://www.heise.de/news/Luecke-in-WordPress-ermoeglicht-aendern-von-Nutzerbeitraegen-176099.html
[3] http://www.joomla.org/component/option,com_jd-wp/Itemid,105/p,486/
[4] mailto:dab@ct.de

Copyright © 2008 Heise Medien