Abo
  • Services:
Anzeige
Joomla sollte schnell auf den neuesten Stand gebracht werden.
Joomla sollte schnell auf den neuesten Stand gebracht werden. (Bild: Screenshot Golem.de)

Remote-Code-Execution: Joomla-Update stopft kritische Sicherheitslücke

Joomla sollte schnell auf den neuesten Stand gebracht werden.
Joomla sollte schnell auf den neuesten Stand gebracht werden. (Bild: Screenshot Golem.de)

Das freie CMS Joomla bekommt ein eiliges Sicherheitsupdate. Alle Versionen der Software sind betroffen. Die Lücke ermöglicht die Ausführung von Code über den User-Agenten und wird bereits aktiv ausgenutzt.

Das Web-Content-Management-System Joomla hat eine schwerwiegende Sicherheitslücke, die nach Angaben der Sicherheitsfirma Sucuri auch schon aktiv ausgenutzt wird. Admins sollten ihre Joomla-Installationen daher schnell patchen. Verwundbar sind die Versionen 1.5.0 und 3.4.5 - ein Update auf Version 3.4.6 liegt bereits vor.

Anzeige

Die Sicherheitslücke ermöglicht es Angreifern, mittels des User-Agenten PHP-Objekte zu injizieren und so aus der Ferne Code ausführen. Nach Angaben von Sucuri fand der erste aktive Exploit auf die Lücke am 12. Dezember statt. Seitdem soll die Anzahl der Angriffe deutlich zugenommen haben.

Sucuri empfiehlt Joomla-Nutzern, ihre Logfiles nach den IP-Adressen 146.0.72.83, 74.3.170.33 oder 194.28.174.106 zu durchsuchen, weil die meisten Angriffe von diesen IPs stammen. Außerdem sollten die Nutzer in den Logs auch nach den Begriffen "JDatabaseDriverMysqli" und "O:" in den jeweiligen User-Agents suchen.

In den Versionen 3.4.0 bis 3.4.5 gibt es eine Directory-Traversal-Lücke, die auf fehlerhaftes Lesen einer XML-Datei im Joomla-Installationspaket zurückzuführen ist. Die com_templates unter Joomla werden mit dem Update außerdem gegen Cross-Site-Request-Forgery-Angriffe abgesichert.

Updates auf die neue Version 3.4.6 sind bereits verfügbar. Die Version bringt nur Sicherheitsupdates, neue Funktionen sind nicht enthalten. Auch die älteren, eigentlich nicht mehr unterstützen Joomla-Versionen 1.5 und 2.5 bekommen inoffizielle Patches über das Eol-Projekt. Eine Anleitung findet sich hier. Wer plant, eine neue Joomla-Installation aufzusetzen, bekommt auf der offiziellen Downloadseite bereits die aktuellste Version.


eye home zur Startseite
Binary.Coder 16. Dez 2015

Oder Sie haben z. B. die Dateirechte auf 777 gestellt. Ich habe viele Joomla...

bjs 16. Dez 2015

ich bin leider kein php programmierer und erkenne nicht, wo hier die code execution zu...

aPollO2k 15. Dez 2015

Richtig wäre_ Verwundbar sind die Versionen 1.5.0 _bis_ 3.4.5 Denn die 2.X ist auch...

Th3Br1x 15. Dez 2015

Es geht um ein Update, das eine Sicherheitslücke schließt. Davon darf es durchaus mehr...



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Bodensee, Salem
  2. Stadt Frankfurt am Main, Frankfurt am Main
  3. Chemische Fabrik Budenheim KG, Budenheim
  4. VPV Versicherungen, Stuttgart


Anzeige
Top-Angebote
  1. 34,99€ + 5,99€ Versand (Vergleichspreis 77€)
  2. für 44,99€ statt 60,00€
  3. (u. a. Echo Dot für 34,99€ statt 59,99€)

Folgen Sie uns
       


  1. Augmented Reality

    Apple kauft Vrvana für 30 Millionen US-Dollar

  2. Lootboxen

    "Battlefront 2 ist ein Star-Wars-Onlinecasino für Kids"

  3. Stadtnetzbetreiber

    Von 55 Tiefbauunternehmen hat keines geantwortet

  4. Steuerstreit

    Irland fordert Milliardenzahlung von Apple ein

  5. Zensur

    Skype ist in chinesischen Appstores blockiert

  6. Eizo Flexscan EV2785

    Neuer USB-C-Monitor mit 4K und mehr Watt für Notebooks

  7. Glasfaser

    Telekom beginnt wieder mit FTTH für Haushalte

  8. BMW-Konzept Vision E3 Way

    Das Zweirad hebt ab

  9. Pocket Camp

    Animal Crossing baut auf Smartphones

  10. DFKI

    Forscher proben robotische Planetenerkundung auf der Erde



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Mozilla Wenn Experimente besser sind als Produkte
  2. Firefox 57 Firebug wird nicht mehr weiterentwickelt
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

  1. Re: Sollen sie halt ihre eigenen Tiefbaufirmen...

    ha00x7 | 16:12

  2. Re: "fehlenden Tiefbaukapazitäten *in Deutschland*"

    pumok | 16:11

  3. Re: Tesla rasiert alle weg

    ArcherV | 16:10

  4. Re: Tesla Model 3 ist 100x besser

    ArcherV | 16:10

  5. Re: Also ich, Entwickler, Nerd, 23, Single bin...

    Dwalinn | 16:09


  1. 15:51

  2. 15:29

  3. 14:59

  4. 14:11

  5. 13:10

  6. 12:40

  7. 12:36

  8. 12:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel