Joomla-Sicherheitsupdate: Angreifer könnten 2-Faktor-Authentifizierung umgehen
Die Joomla-Entwickler haben drei SicherheitslĂĽcken in der aktuellen Version 3.8.2 geschlossen.
Das Content Management System (CMS) Joomla ist in verschiedenen Versionen verwundbar. Keine der drei SicherheitslĂĽcken gilt als kritisch. Zwei versehen die Entwickler mit dem Bedrohungsgrad "mittel" und die dritte mit "niedrig." Die neue Ausgabe 3.8.2 schlieĂźt die LĂĽcken.
Aufgrund einer Schwachstelle (CVE-2017-14596) im LDAP-Authentication-Plugin könnten Angreifer Nutzernamen und Passwörter offenlegen. Davon sollen die Versionen 1.5.0 bis einschließlich 3.8.1 betroffen sein. Die zweite Lücke (CVE-2017-16634) klafft in den Ausgaben 3.2.0 bis inklusive 3.8.1. Nutzen Angreifer die Schwachstelle aus, sollen sie die 2-Faktor-Authentifizierung umgehen können.
Ăśber die LĂĽcke (CVE-2017-16633) mit dem geringsten Bedrohungsgrad sollen Angreifer in der Lage sein, Informationen aus den Custom fields einer Seite auszulesen. DafĂĽr ist ein Fehler im com_fields der Versionen 3.7.0 bis einschlieĂźlich 3.8.1 verantwortlich.
Des Weiteren kümmern sich die Entwickler noch um 90 weitere Bugs, die aber nicht die Sicherheit des CMS gefährden. (des)
