Remote-Code-Execution: Joomla-Update stopft kritische Sicherheitslücke

Das freie CMS Joomla bekommt ein eiliges Sicherheitsupdate. Alle Versionen der Software sind betroffen. Die Lücke ermöglicht die Ausführung von Code über den User-Agenten und wird bereits aktiv ausgenutzt.

Artikel veröffentlicht am ,
Joomla sollte schnell auf den neuesten Stand gebracht werden.
Joomla sollte schnell auf den neuesten Stand gebracht werden. (Bild: Screenshot Golem.de)

Das Web-Content-Management-System Joomla hat eine schwerwiegende Sicherheitslücke, die nach Angaben der Sicherheitsfirma Sucuri auch schon aktiv ausgenutzt wird. Admins sollten ihre Joomla-Installationen daher schnell patchen. Verwundbar sind die Versionen 1.5.0 und 3.4.5 - ein Update auf Version 3.4.6 liegt bereits vor.

Stellenmarkt
  1. (Senior) Consultant (m/w/d) Success Factors
    Dr. August Oetker Nahrungsmittel KG, Bielefeld
  2. Service Administrator IT-Support (m/w/d)
    BUCS IT GmbH, Wuppertal
Detailsuche

Die Sicherheitslücke ermöglicht es Angreifern, mittels des User-Agenten PHP-Objekte zu injizieren und so aus der Ferne Code ausführen. Nach Angaben von Sucuri fand der erste aktive Exploit auf die Lücke am 12. Dezember statt. Seitdem soll die Anzahl der Angriffe deutlich zugenommen haben.

Sucuri empfiehlt Joomla-Nutzern, ihre Logfiles nach den IP-Adressen 146.0.72.83, 74.3.170.33 oder 194.28.174.106 zu durchsuchen, weil die meisten Angriffe von diesen IPs stammen. Außerdem sollten die Nutzer in den Logs auch nach den Begriffen "JDatabaseDriverMysqli" und "O:" in den jeweiligen User-Agents suchen.

In den Versionen 3.4.0 bis 3.4.5 gibt es eine Directory-Traversal-Lücke, die auf fehlerhaftes Lesen einer XML-Datei im Joomla-Installationspaket zurückzuführen ist. Die com_templates unter Joomla werden mit dem Update außerdem gegen Cross-Site-Request-Forgery-Angriffe abgesichert.

Golem Akademie
  1. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Updates auf die neue Version 3.4.6 sind bereits verfügbar. Die Version bringt nur Sicherheitsupdates, neue Funktionen sind nicht enthalten. Auch die älteren, eigentlich nicht mehr unterstützen Joomla-Versionen 1.5 und 2.5 bekommen inoffizielle Patches über das Eol-Projekt. Eine Anleitung findet sich hier. Wer plant, eine neue Joomla-Installation aufzusetzen, bekommt auf der offiziellen Downloadseite bereits die aktuellste Version.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Fluggastdaten
Regierung dementiert Hackerangriff auf deutsches PNR-System
artikel-bild
ROBOT-Angriff
Arbeitsagentur nutzt uralte Cisco-Geräte
artikel-bild
Huawei
Erste P10-Nutzer bekommen Oreo-Upgrade
artikel-bild
LLVM 6.0
Clang bekommt Maßnahme gegen Spectre-Angriff
artikel-bild
Certificate Transparency
Webanwendungen hacken, bevor sie installiert sind
Meistgelesen
artikel-bild
Kooperation
Amazon Kreditkarte mit Landesbank Berlin wird eingestellt
artikel-bild
WSL 2 in Windows 11
Von der Hassliebe zur fast perfekten Windows-Linux-Symbiose
artikel-bild
Linux
Vom einfachen Speicherfehler zur Systemübernahme
artikel-bild
Pixel 6 (Pro)
Googles Tensor-SoC ist eine wilde Mischung
artikel-bild
Klimaforscher
Das Konzept der Klimaneutralität ist eine gefährliche Falle
Kommentarübersicht
Re: Unfassbar
Binary.Coder 16. Dez 2015

Oder Sie haben z. B. die Dateirechte auf 777 gestellt. Ich habe viele Joomla...

Re: Ich suche nähere Information dazu ...
Anonymer Nutzer 16. Dez 2015

ich bin leider kein php programmierer und erkenne nicht, wo hier die code execution zu...

FALSCH: Verwundbar sind die Versionen 1.5.0 und 3.4.5
aPollO2k 15. Dez 2015

Richtig wäre_ Verwundbar sind die Versionen 1.5.0 _bis_ 3.4.5 Denn die 2.X ist auch...

Re: Danke für die News.
Th3Br1x 15. Dez 2015

Es geht um ein Update, das eine Sicherheitslücke schließt. Davon darf es durchaus mehr...

Aktuell auf der Startseite von Golem.de
Kooperation
Amazon Kreditkarte mit Landesbank Berlin wird eingestellt

Während der ADAC seine Kunden bereits informiert hat, schweigt Amazon Deutschland noch zum Ende der Kooperation mit der Landesbank Berlin.

Kooperation: Amazon Kreditkarte mit Landesbank Berlin wird eingestellt
Artikel
  1. Linux: Vom einfachen Speicherfehler zur Systemübernahme
    Linux
    Vom einfachen Speicherfehler zur Systemübernahme

    Ein häufig vorkommender Fehler in C-Code hat einen Google-Entwickler motiviert, über Gegenmaßnahmen nachzudenken.

  2. Social-Media-Plattform: Paypal will Pinterest kaufen
    Social-Media-Plattform
    Paypal will Pinterest kaufen

    Der Zahlungsabwickler Paypal soll bereit sein, 45 Milliarden US-Dollar für den Betreiber digitaler Pinnwände zu bezahlen.

  3. Pixel 6 (Pro): Googles Tensor-SoC ist eine wilde Mischung
    Pixel 6 (Pro)
    Googles Tensor-SoC ist eine wilde Mischung

    Viel Samsung, wenig Google: Der Chip kombiniert extreme Computational Photography mit einem kuriosen Design zugunsten der Akkulaufzeit.
    Eine Analyse von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week Finale: Bis 33% auf Digitus-Monitorhalterungen & bis 36 Prozent auf EVGA-Netzteile • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /