Joomla-Sicherheitsupdate: Angreifer könnten 2-Faktor-Authentifizierung umgehen
Die Joomla-Entwickler haben drei Sicherheitslücken in der aktuellen Version 3.8.2 geschlossen.
Das Content Management System (CMS) Joomla ist in verschiedenen Versionen verwundbar. Keine der drei Sicherheitslücken gilt als kritisch. Zwei versehen die Entwickler mit dem Bedrohungsgrad "mittel" und die dritte mit "niedrig." Die neue Ausgabe 3.8.2 schließt die Lücken.
Aufgrund einer Schwachstelle (CVE-2017-14596) im LDAP-Authentication-Plugin könnten Angreifer Nutzernamen und Passwörter offenlegen. Davon sollen die Versionen 1.5.0 bis einschließlich 3.8.1 betroffen sein. Die zweite Lücke (CVE-2017-16634) klafft in den Ausgaben 3.2.0 bis inklusive 3.8.1. Nutzen Angreifer die Schwachstelle aus, sollen sie die 2-Faktor-Authentifizierung umgehen können.
Über die Lücke (CVE-2017-16633) mit dem geringsten Bedrohungsgrad sollen Angreifer in der Lage sein, Informationen aus den Custom fields einer Seite auszulesen. Dafür ist ein Fehler im com_fields der Versionen 3.7.0 bis einschließlich 3.8.1 verantwortlich.
Des Weiteren kümmern sich die Entwickler noch um 90 weitere Bugs, die aber nicht die Sicherheit des CMS gefährden. (des)
