zurück zum Artikel

Neben dem Schließen von drei Sicherheitslücken haben die Joomla-Entwickler das CMS zusätzlich gehärtet.

Verschiedene Versionen des Content-Management-Systems Joomla sind verwundbar. Die Entwickler raten Nutzern, die aktuelle Version 3.6.5 [1] zügig zu installieren.

Den Bedrohungsgrad der Lücke mit der Kennung CVE-2016-9838 [2] stuft das Joomla-Team mit "Hoch" ein. Auf nicht näher beschriebenem Weg sollen Angreifer Nutzer-Accounts manipulieren und so Nutzernamen, Gruppen-Zugehörigkeiten und Passwörter zurücksetzen können. Davon sollen die Joomla Ausgaben 1.6.0 bis 3.6.4 bedroht sein.

Die beiden anderen Lücken (CVE-2016-9836 [3] und CVE-2016-9837 [4]) sind mit dem Bedrohungsgrad "Niedrig" ausgezeichnet. Nutzt ein Angreifer diese aus, soll er manipulierte PHP-Dateien hochladen oder eingeschränkte Inhalte einsehen können. Davon sind die Versionen 3.0.0 bis 3.6.4.

Zur weiteren Härtung von Joomla [5] haben die Entwickler eigenen Angaben zufolge Einschränkungen für Konfigurationseinstellungen eingeführt. So können Nutzer ohne Admin-Rechte etwa keine Mitglieder mehr von Super-User-Gruppen verwalten. (des [6])

URL dieses Artikels:
https://www.heise.de/-3571297

Links in diesem Artikel:
[1] https://www.joomla.org/announcements/release-news/5693-joomla-3-6-5-released.html
[2] https://developer.joomla.org/security-centre/664-20161201-core-elevated-privileges.html
[3] https://developer.joomla.org/security-centre/665-20161202-core-shell-upload.html
[4] https://developer.joomla.org/security-centre/666-20161203-core-information-disclosure.html
[5] https://developer.joomla.org/security-centre/667-20161204-misc-security-hardening.html
[6] mailto:des@heise.de

Copyright © 2016 Heise Medien