Neues Sicherheitsupdate: Joomla immer noch verwundbar

Die vergangene Woche veröffentlichte Version 3.4.6 von Joomla sollte eine kritische Schwachstelle stopfen. Angreifer können Joomla aber immer noch attackieren. Version 3.4.7 soll die Lücke nun endgültig schließen.

In Pocket speichern vorlesen Druckansicht 83 Kommentare lesen
Neues Sicherheitsupdate: Joomla immer noch verwundbar
Lesezeit: 2 Min.

In den Joomla-Versionen 1.5 bis 3.4.6 klafft eine kritische Lücke, über die Angreifer Opfern Code unterjubeln können. Eigentlich sollte das Sicherheitsupdate von vergangener Woche das freie Content-Management-System absichern. Wie sich nun herausstellte, findet sich die Ursache der Schwachstelle in PHP, berichtete das Joomla-Team.

Nutzer sollten die aktuelle Joomla-Version so schnell wie möglich einspielen. Denn es gibt bereits einen Expoit und Sicherheitsforscher von Sucuri berichten von ersten Übergriffen.

Den Entwicklern zufolge enthält Version 3.4.7 nur das Sicherheitsupdate und keine neuen Funktionen. Zudem wird noch eine SQL-Injection-Lücke geschlossen, die die Entwickler mit dem Schweregrad leicht einstufen. Nutzer der Joomla-Versionen 1.5 und 2.5 steht der Patch zum Stopfen der kritischen Lücke auch zur Verfügung.

Es seien ausschließlich Joomla-Versionen bedroht, die im Zusammenhang mit verwundbaren PHP-Versionen zum Einsatz kommen. Die PHP-Versionen 5.4.45, 5.5.29, 5.6.13 und 7 sollen nicht von der Lücke betroffen sein. Zudem seien auch bestimmte Linux-LTS-5.3-Versionen abgedichtet.

Admins sollten also ihre PHP-Version prüfen. Um auf Nummer sicher zu gehen, hat sich das Joomla-Team dazu entschieden, die aktuelle Version 3.4.7 des CMS-Systems mit zusätzlichen Fixes abzusichern. Denn nicht jede Admin prüfe regelmäßig die zum Einsatz kommende PHP-Version.

Die Kryptologen von Sucuri berichten, dass Angreifer bei der Art und Weise, wie PHP Sessions in der Datenbank anordnet, ansetzen können, um eigenen Code in das CMS zu schieben. (des)