Joomla in abgesicherter Version 3.7.3 erschienen
Die Entwickler des Content-Management-Systems Joomla haben in der aktuellen Ausgabe drei Sicherheitsprobleme ausgebügelt und diverse Bugs gefixt.
In den Joomla-Versionen 1.7.3 bis inklusive 3.7.2 klaffen zwei mit dem Schweregrad "hoch" eingestufte Sicherheitslücken [1]. Nutzer sollten die reparierte Ausgabe 3.7.3 installieren.
Ein nicht korrektes Zurücksetzen des Caches (CVE-2017-9933) führt dazu, dass Informationen leaken können. Das Ausnutzen der zweiten Schwachstelle (CVE-2017-9934) kann aufgrund eines fehlenden CSRF-Token-Checks und einer ungenauen Überprüfung von Eingaben zu einem XSS-Angriff führen. Wie Angriffe im Detail vonstatten gehen, führen die Joomla-Entwickler derzeit nicht aus.
In den Versionen 1.5.0 bis einschließlich 3.7.2 klafft eine weitere XSS-Lücke (CVE-2017-7985), die mit dem Bedrohungsgrad "niedrig" eingestuft ist. Neben dem Schließen von Schwachstellen haben die Entwickler zudem mehrere Bugs gefixt [2]. (des [3])
URL dieses Artikels:
https://www.heise.de/-3765339
Links in diesem Artikel:
[1] https://developer.joomla.org/security-centre.html
[2] https://www.joomla.org/announcements/release-news/5709-joomla-3-7-3-release.html
[3] mailto:des@heise.de
Copyright © 2017 Heise Medien