Abo
  • Services:
Anzeige
Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter?
Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter? (Bild: Joomla)

Sicherheit: Joomla-Lücke könnte absichtlich platziert worden sein

Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter?
Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter? (Bild: Joomla)

Eine Sicherheitslücke in Joomla bestand seit vielen Jahren, doch ein Bug verhinderte, dass man sie ausnutzen konnte. Dann wurde der Bug gefixt - ohne dass das Sicherheitsproblem entdeckt wurde. Absicht oder nicht?

Im populären Content-Management-System Joomla ist vor kurzem eine sehr kritische Sicherheitslücke gefunden worden. Der Code mit der Sicherheitslücke ist schon seit sehr langer Zeit Teil des Joomla-Projekts - allerdings ist die Lücke in älteren Versionen nicht ausnutzbar. Erst ein Bugfix, der vor etwa einem Jahr durchgeführt wurde, ermöglicht die Ausnutzung der Lücke. Handelt es sich um bewusste Sabotage?

Anzeige

Joomla-Lücke erlaubt Accounterstellung

Das Joomla-Projekt hat am Dienstag die Version 3.6.4 veröffentlicht, die mehrere kritische Sicherheitslücken behebt. Ein Fehler im Modul zur Nutzerverwaltung erlaubt es, unberechtigt einen Account anzulegen. Durch weitere Sicherheitslücken kann dieser Nutzeraccount dann zu einem Administratoraccount aufgewertet werden. Ein Angreifer kann also die komplette Joomla-Installation übernehmen.

In einem Blogpost weist die Webdesignerin Fiona Coulter darauf hin, dass der fehlerhafte Code zur Accounterstellung bereits seit der Version 1.6 und damit seit 2011 in Joomla vorhanden ist. Trotzdem lässt sich der Bug in älteren Joomla-Versionen nicht ausnutzen. Denn ein weiterer Bug sorgt dafür, dass die entsprechende Funktion im Modul zur Benutzerverwaltung schlicht nicht funktioniert. Doch dieser Bug wurde in Version 3.4.4 behoben.

Das dürfte einiges dazu beitragen, dass die Auswirkungen des Bugs begrenzt bleiben, denn viele Webseiten nutzen noch die nicht mehr unterstützte Version 2.5 von Joomla. Es bietet aber auch Raum für Spekulationen: Wusste die Person, die den Bug gefixt hat, von der Sicherheitslücke und hat sie durch den Bugfix erst geöffnet?

Der Bugfix wurde auf Github als Pull-Request eingereicht. Der Account, über den der Bugfix eingereicht wurde, ist offenbar ausschließlich hierfür angelegt worden - denn der entsprechende Patch und der Pull-Request sind die einzigen Aktivitäten, die mit diesem Account jemals durchgeführt wurden.

Natürlich gibt es auch unschuldige Erklärungen für den Vorfall. So könnte ein Webentwickler, der ansonsten nicht auf Github aktiv ist, den Bug gefunden und einen Patch eingereicht haben.

Ähnlicher Vorfall bei Angular.js

So weit hergeholt ist die Idee, dass durch einen Bugfix eine Sicherheitslücke erst geschaffen wird, nicht. Einen ähnlichen Vorfall gab es beim Javascript-Framework Angular.js - allerdings ohne bösartigen Hintergrund. Darüber hatte Mario Heiderich von der Berliner Firma Cure53 in einem Vortrag auf der Ruhrsec-Konferenz berichtet (ab Minute 33).

Mitarbeiter von Cure53 hatten einen Fehler in der Sandbox von Angular.js entdeckt. Dieser Fehler führte dazu, dass ein Bypass für die Sandbox nicht funktionierte. Die Cure53-Mitarbeiter wollten austesten, ob sie den Bugfix einreichen konnten, ohne dass der Sandbox-Bypass bemerkt wurde.

Die Entwicklung von Angular.js wird von Google unterstützt. Die Cure53-Mitarbeiter informierten das Google-Sicherheitsteam über ihren Plan, nicht jedoch die Angular.js-Entwickler selbst. Der entsprechende Pull-Request wurde angenommen. Cure53 informierte anschließend die Angular.js-Entwickler und vor der Veröffentlichung eines neuen Releases wurde der Sandbox-Bypass ebenfalls behoben.

Joomla-Lücke wird bereits aktiv ausgenutzt

Die Joomla-Sicherheitslücken werden bereits aktiv ausgenutzt. Laut der Firma Sucuri begannen erste Massen-Angriffsversuche auf Joomla-Installationen wenige Stunden nach der Veröffentlichung der Lücke. Wer Joomla betreibt und dieses bislang nicht aktualisiert hat, muss also damit rechnen, dass seine Webseite mit hoher Warscheinlichkeit bereits kompromittiert wurde.

Nutzer von populären Content-Management-Systemen müssen dafür sorgen, dass diese immer aktuell gehalten werden, oftmals innerhalb von Stunden. Anders als der Konkurrent Wordpress besitzt Joomla von Haus aus keine automatische Update-Funktion. Es gibt ein Auto-Update allerdings als inoffizielle Erweiterung.

Immer wieder werden sehr kritische Lücken in Joomla oder anderen populären Content-Management-Systemen entdeckt. Im vergangenen Jahr war Joomla zweimal Opfer von ähnlich kritischen Schwachstellen. Auch Drupal war vor einiger Zeit betroffen. Jedesmal, wenn derart kritische Lücken in einer populären Webanwendung gefunden werden, gibt es kurz danach Versuche, diese mittels Internet-weiter Scans auszunutzen.


eye home zur Startseite
MarioWario 30. Okt 2016

1+ - sehe ich auch so. Leider wird auch beim mittlerweile gut gesponsorten OpenSSL so...

Themenstart

funholy 30. Okt 2016

Kritisches Hinterfragen mit allen möglichen Theorien ist ein ganz wichtiger Faktor bei...

Themenstart

Hello_World 30. Okt 2016

Ein Nutzer bemerkt einen Bug, der ihn betrifft, wühlt ein bisschen im Quellcode herum...

Themenstart

luarix 30. Okt 2016

Da ist einer über einen Bug gestolpert und hat diesen gefixt. Dass sich Leute extra dafür...

Themenstart

Tyler_Durden_ 29. Okt 2016

Ja, das Ganze ist spät entdeckt worden. Nein, es war keine Sabotage. Der Bug bestand seit...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. DATAGROUP Inshore Services GmbH, Berlin, Leipzig, Rostock
  3. Thalia Bücher GmbH, Hagen (Raum Dortmund)
  4. Road Deutschland GmbH, Bretten bei Bruchsal


Anzeige
Spiele-Angebote
  1. 69,99€
  2. 29,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. USA

    Samsung will Note 7 in Backsteine verwandeln

  2. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  3. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  4. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  5. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  6. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  7. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  8. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  9. Kein Internet

    Nach Windows-Update weltweit Computer offline

  10. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: Mensch Hauke

    Midian | 13:51

  2. Samsung bietet (nur?) Umtausch gegen Samsunggerät an

    jkow | 13:50

  3. Re: Eigentlich reicht auch der Entzug der...

    Sharra | 13:43

  4. Re: Diese ganzen angeblichen F2P sollte man...

    Olga Maslochov | 13:40

  5. Re: Dann können ja die nächsten Steuergelder für...

    Ovaron | 13:38


  1. 12:53

  2. 12:14

  3. 11:07

  4. 09:01

  5. 18:40

  6. 17:30

  7. 17:13

  8. 16:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel