US-CERT warnt vor kritischer Joomla-Lücke
Durch eine Lücke im Media Manager können Angreifer Dateien hochladen und anschließend auf dem Server ausführen.
Das US-CERT hat eine Warnung zu einem Sicherheitsproblem in Content Management System Joomla veröffentlicht. Bei nicht ganz aktuellen Versionen können Angreifer demnach über den Joomla! Media Manager aktive Inhalte wie eine PHP-Shell hochladen und anschließend ausführen. Das gibt ihnen dann weitgehende Kontrolle über den Server.
Betroffen sind die Joomla-Versionen bis 2.5.13 beziehungsweise 3.1.4; das US-CERT empfiehlt das Upgrade auf neuere Versionen. Das Sicherheitsproblem wurde zwar bereits im Juli gefixt, allerdings damals vom Joomla-Security-Team nur äußerst knapp beschrieben. Mittlerweile existieren öffentliche Exploits unter anderem als Metasploit-Modul. Wer noch eine betroffene Joomla-Version betreibt, sollte umgehend reagieren und auf die aktuellen Versionen 2.5.14 beziehungsweise 3.1.5 umstellen. (ju)
