Sicherheitsupdate: Joomla 3.8.0 schließt LDAP-Lücke
Ein Fehler in der LDAP-Bibliothek von Joomla könnte dazu führen, dass Angreifer Login-Daten auslesen. Die aktuelle Ausgabe sichert das CMS ab.
Wer das Content Management System Joomla nutzt, sollte die aktuelle Version 3.8.0 installieren. Wenn dies nicht geschieht und Joomla in Zusammenhang mit einem LDAP-Server betrieben wird, könnten Dritte Login-Informationen aus der Datenbank auslesen.
Die Lücke mit der Kennung CVE-2017-14596 klafft in den Ausgaben 1.5.0 bis einschließlich 3.7.5. Version 3.8.0 ist abgesichert. Das Joomla-Team stuft den Bedrohungsgrad der Schwachstelle mit "mittel" ein.
Noch eine Lücke
Das Bedrohungspotenzial einer weiteren in Ausgabe 3.8.0 geschlossenen Lücke (CVE-2017-14595) sehen die Entwickler als "niedrig" an. Aufgrund eines Fehlers während einer SQL-Abfrage könnte Angreifer Introtexte von archivierten Beiträgen einsehen.
Neben den Fehlerbereinigungen bringt Joomla 3.8.0 auch neue Funktionen mit und Nutzer können nun etwa die Krypto-Bibliothek Sodium nutzen. (des)