Abo
  • Services:
Anzeige
Joomla sollte schnell auf den neuesten Stand gebracht werden.
Joomla sollte schnell auf den neuesten Stand gebracht werden. (Bild: Screenshot Golem.de)

Remote-Code-Execution: Joomla-Update stopft kritische Sicherheitslücke

Joomla sollte schnell auf den neuesten Stand gebracht werden.
Joomla sollte schnell auf den neuesten Stand gebracht werden. (Bild: Screenshot Golem.de)

Das freie CMS Joomla bekommt ein eiliges Sicherheitsupdate. Alle Versionen der Software sind betroffen. Die Lücke ermöglicht die Ausführung von Code über den User-Agenten und wird bereits aktiv ausgenutzt.

Das Web-Content-Management-System Joomla hat eine schwerwiegende Sicherheitslücke, die nach Angaben der Sicherheitsfirma Sucuri auch schon aktiv ausgenutzt wird. Admins sollten ihre Joomla-Installationen daher schnell patchen. Verwundbar sind die Versionen 1.5.0 und 3.4.5 - ein Update auf Version 3.4.6 liegt bereits vor.

Anzeige

Die Sicherheitslücke ermöglicht es Angreifern, mittels des User-Agenten PHP-Objekte zu injizieren und so aus der Ferne Code ausführen. Nach Angaben von Sucuri fand der erste aktive Exploit auf die Lücke am 12. Dezember statt. Seitdem soll die Anzahl der Angriffe deutlich zugenommen haben.

Sucuri empfiehlt Joomla-Nutzern, ihre Logfiles nach den IP-Adressen 146.0.72.83, 74.3.170.33 oder 194.28.174.106 zu durchsuchen, weil die meisten Angriffe von diesen IPs stammen. Außerdem sollten die Nutzer in den Logs auch nach den Begriffen "JDatabaseDriverMysqli" und "O:" in den jeweiligen User-Agents suchen.

In den Versionen 3.4.0 bis 3.4.5 gibt es eine Directory-Traversal-Lücke, die auf fehlerhaftes Lesen einer XML-Datei im Joomla-Installationspaket zurückzuführen ist. Die com_templates unter Joomla werden mit dem Update außerdem gegen Cross-Site-Request-Forgery-Angriffe abgesichert.

Updates auf die neue Version 3.4.6 sind bereits verfügbar. Die Version bringt nur Sicherheitsupdates, neue Funktionen sind nicht enthalten. Auch die älteren, eigentlich nicht mehr unterstützen Joomla-Versionen 1.5 und 2.5 bekommen inoffizielle Patches über das Eol-Projekt. Eine Anleitung findet sich hier. Wer plant, eine neue Joomla-Installation aufzusetzen, bekommt auf der offiziellen Downloadseite bereits die aktuellste Version.


eye home zur Startseite
Binary.Coder 16. Dez 2015

Oder Sie haben z. B. die Dateirechte auf 777 gestellt. Ich habe viele Joomla...

bjs 16. Dez 2015

ich bin leider kein php programmierer und erkenne nicht, wo hier die code execution zu...

aPollO2k 15. Dez 2015

Richtig wäre_ Verwundbar sind die Versionen 1.5.0 _bis_ 3.4.5 Denn die 2.X ist auch...

Th3Br1x 15. Dez 2015

Es geht um ein Update, das eine Sicherheitslücke schließt. Davon darf es durchaus mehr...



Anzeige

Stellenmarkt
  1. DPD Deutschland GmbH, Aschaffenburg
  2. Ratbacher GmbH, Raum Nürnberg
  3. Bosch Energy and Building Solutions GmbH, Stuttgart-Weilimdorf
  4. L'TUR Tourismus AG, Baden-Baden


Anzeige
Blu-ray-Angebote

Folgen Sie uns
       


  1. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  2. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  3. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  4. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  5. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  6. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  7. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  8. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  9. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  10. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Nicht mal auf Macs..

    mfreier | 00:58

  2. Geht's nur mir so oder is dieses mal das Klima...

    ManMashine | 00:45

  3. Und 12% wollen einen unbezahlbaren?

    arthurdont | 00:43

  4. Re: Speedtest Geschummel - Nicht repräsentativ

    ML82 | 00:37

  5. Re: Bandbreite allein ist ein schlechter...

    ML82 | 00:30


  1. 18:13

  2. 17:49

  3. 17:39

  4. 17:16

  5. 17:11

  6. 16:49

  7. 16:17

  8. 16:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel