Remote-Code-Execution: Joomla-Update stopft kritische Sicherheitslücke

Das Web-Content-Management-System Joomla hat eine schwerwiegende Sicherheitslücke, die nach Angaben der Sicherheitsfirma Sucuri auch schon aktiv ausgenutzt wird. Admins sollten ihre Joomla-Installationen daher schnell patchen. Verwundbar sind die Versionen 1.5.0 und 3.4.5 - ein Update auf Version 3.4.6 liegt bereits vor.

Die Sicherheitslücke ermöglicht es Angreifern, mittels des User-Agenten PHP-Objekte zu injizieren und so aus der Ferne Code ausführen. Nach Angaben von Sucuri fand der erste aktive Exploit auf die Lücke am 12. Dezember statt. Seitdem soll die Anzahl der Angriffe deutlich zugenommen haben.

Sucuri empfiehlt Joomla-Nutzern, ihre Logfiles nach den IP-Adressen 146.0.72.83, 74.3.170.33 oder 194.28.174.106 zu durchsuchen, weil die meisten Angriffe von diesen IPs stammen. Außerdem sollten die Nutzer in den Logs auch nach den Begriffen "JDatabaseDriverMysqli" und "O:" in den jeweiligen User-Agents suchen.

In den Versionen 3.4.0 bis 3.4.5 gibt es eine Directory-Traversal-Lücke, die auf fehlerhaftes Lesen einer XML-Datei im Joomla-Installationspaket zurückzuführen ist. Die com_templates unter Joomla werden mit dem Update außerdem gegen Cross-Site-Request-Forgery-Angriffe abgesichert.

Updates auf die neue Version 3.4.6 sind bereits verfügbar. Die Version bringt nur Sicherheitsupdates, neue Funktionen sind nicht enthalten. Auch die älteren, eigentlich nicht mehr unterstützen Joomla-Versionen 1.5 und 2.5 bekommen inoffizielle Patches über das Eol-Projekt. Eine Anleitung findet sich hier. Wer plant, eine neue Joomla-Installation aufzusetzen, bekommt auf der offiziellen Downloadseite bereits die aktuellste Version.