Joomla und LDAP: Sicherheitslücke erlaubt das Auslesen von Anmeldedaten

In der LDAP-Bibliothek des Content Management Systems Joomla wurde eine acht Jahre alte Sicherheitslücke (CVE-2017-14596) entdeckt, die Angreifer dazu missbrauchen können, Anmeldedaten aus dem mit Joomla verbundenen LDAP-Server auszulesen. Das wiederum kann ein Angreifer nutzen, um an ein Admin-Konto der Joomla-Installation zu gelangen und diese so komplett unter seine Kontrolle zu bringen. Betroffen sind alle Joomla-Versionen von 1.5 bis einschließlich Version 3.7.5 – die Entwickler empfehlen ein Update auf die nun erschienene Version 3.8.0. Allerdings sind nur Installationen angreifbar, die mit einem LDAP-Server verbunden sind.

Das Lightweight Directory Access Protocol (LDAP) wird oft dazu verwendet, Software mit Benutzerdaten zu verbinden, die auch im Active Directory eines Windows-Netzwerks zur Anwendung kommen. So können etwa die Nutzer eines internen Firmen-Blogs ihre Windows-Login-Daten aus der Domäne dazu verwenden, sich an der Blog-Software anzumelden. Da diese Art der Installation für öffentlich erreichbare Blogs oft nicht anwendbar ist und die LDAP-Bibliothek außerdem mit Serverdaten versorgt werden muss, bevor sie funktionieren kann, ist diese Funktion in Joomla nach Neuinstallationen erst einmal deaktiviert.

Administratoren, die Joomla in Zusammenhang mit einem LDAP-Server nutzen, sollten die Software auf jeden Fall so schnell wie möglich aktualisieren. Die Sicherheitslücke stellt, auch wenn sie unter Umständen nur im lokalen Netz auftritt, eine Gefahr für die im LDAP gespeicherten Anmeldedaten dar. Ein Angreifer könnte sie nach einem erfolgten Einbruch ins LAN einer Organisation etwa dafür missbrauchen, Zugangsdaten für andere Systeme in dem Netzwerk auszulesen und so Rechner kapern, die weit kritischer als die eigentliche Joomla-Installation sind. Voraussetzung dafür ist allerdings, dass das Opfer sich auch bei der Joomla-Installation angemeldet hat. (fab)