Abo
  • Services:
Anzeige
Joomla sollte schnell auf den neuesten Stand gebracht werden.
Joomla sollte schnell auf den neuesten Stand gebracht werden. (Bild: Screenshot Golem.de)

Remote-Code-Execution: Joomla-Update stopft kritische Sicherheitslücke

Joomla sollte schnell auf den neuesten Stand gebracht werden.
Joomla sollte schnell auf den neuesten Stand gebracht werden. (Bild: Screenshot Golem.de)

Das freie CMS Joomla bekommt ein eiliges Sicherheitsupdate. Alle Versionen der Software sind betroffen. Die Lücke ermöglicht die Ausführung von Code über den User-Agenten und wird bereits aktiv ausgenutzt.

Das Web-Content-Management-System Joomla hat eine schwerwiegende Sicherheitslücke, die nach Angaben der Sicherheitsfirma Sucuri auch schon aktiv ausgenutzt wird. Admins sollten ihre Joomla-Installationen daher schnell patchen. Verwundbar sind die Versionen 1.5.0 und 3.4.5 - ein Update auf Version 3.4.6 liegt bereits vor.

Anzeige

Die Sicherheitslücke ermöglicht es Angreifern, mittels des User-Agenten PHP-Objekte zu injizieren und so aus der Ferne Code ausführen. Nach Angaben von Sucuri fand der erste aktive Exploit auf die Lücke am 12. Dezember statt. Seitdem soll die Anzahl der Angriffe deutlich zugenommen haben.

Sucuri empfiehlt Joomla-Nutzern, ihre Logfiles nach den IP-Adressen 146.0.72.83, 74.3.170.33 oder 194.28.174.106 zu durchsuchen, weil die meisten Angriffe von diesen IPs stammen. Außerdem sollten die Nutzer in den Logs auch nach den Begriffen "JDatabaseDriverMysqli" und "O:" in den jeweiligen User-Agents suchen.

In den Versionen 3.4.0 bis 3.4.5 gibt es eine Directory-Traversal-Lücke, die auf fehlerhaftes Lesen einer XML-Datei im Joomla-Installationspaket zurückzuführen ist. Die com_templates unter Joomla werden mit dem Update außerdem gegen Cross-Site-Request-Forgery-Angriffe abgesichert.

Updates auf die neue Version 3.4.6 sind bereits verfügbar. Die Version bringt nur Sicherheitsupdates, neue Funktionen sind nicht enthalten. Auch die älteren, eigentlich nicht mehr unterstützen Joomla-Versionen 1.5 und 2.5 bekommen inoffizielle Patches über das Eol-Projekt. Eine Anleitung findet sich hier. Wer plant, eine neue Joomla-Installation aufzusetzen, bekommt auf der offiziellen Downloadseite bereits die aktuellste Version.


eye home zur Startseite
Binary.Coder 16. Dez 2015

Oder Sie haben z. B. die Dateirechte auf 777 gestellt. Ich habe viele Joomla...

bjs 16. Dez 2015

ich bin leider kein php programmierer und erkenne nicht, wo hier die code execution zu...

aPollO2k 15. Dez 2015

Richtig wäre_ Verwundbar sind die Versionen 1.5.0 _bis_ 3.4.5 Denn die 2.X ist auch...

Th3Br1x 15. Dez 2015

Es geht um ein Update, das eine Sicherheitslücke schließt. Davon darf es durchaus mehr...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, München
  2. über Ratbacher GmbH, Würzburg
  3. Bundeskriminalamt, Wiesbaden
  4. Daimler AG, Leinfelden-Echterdingen


Anzeige
Blu-ray-Angebote
  1. 22,00€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 44,97€, Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 65,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Extremistische Inhalte

    Google hat weiter Probleme mit Werbeplatzierungen

  2. SpaceX

    Für eine Raketenstufe geht es zurück ins Weltall

  3. Ashes of the Singularity

    Patch beschleunigt Ryzen-Chips um 20 Prozent

  4. Thimbleweed Park im Test

    Mord im Pixelparadies

  5. Bundesgerichtshof

    Eltern müssen bei illegalem Filesharing ihre Kinder verraten

  6. Gesetz beschlossen

    Computer dürfen das Lenkrad übernehmen

  7. Neue Bildersuche

    Fotografenvereinigung Freelens klagt gegen Google

  8. FTTB

    Unitymedia baut zwei Gemeinden mit Glasfaser aus

  9. Hashfunktion

    Der schwierige Abschied von SHA-1

  10. Cyberangriff auf Bundestag

    BSI beschwichtigt und warnt vor schädlichen Werbebannern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
WLAN-Störerhaftung: Wie gefährlich sind die Netzsperrenpläne der Regierung?
WLAN-Störerhaftung
Wie gefährlich sind die Netzsperrenpläne der Regierung?
  1. Telia Schwedischer ISP muss Nutzerdaten herausgeben
  2. Die Woche im Video Dumme Handys, kernige Prozessoren und Zeldaaaaaaaaaa!
  3. Störerhaftung Regierung will Netzsperren statt Abmahnkosten

In eigener Sache: Golem.de sucht Marketing Manager (w/m)
In eigener Sache
Golem.de sucht Marketing Manager (w/m)
  1. In eigener Sache Golem.de geht auf Jobmessen
  2. In eigener Sache Golem.de kommt jetzt sicher ins Haus - per HTTPS
  3. In eigener Sache Unterstützung für die Schlussredaktion gesucht!

Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

  1. Re: 80er Filme

    Dino13 | 20:38

  2. *FACEPALM*

    _4ubi_ | 20:37

  3. Da hat aber jeman schlecht recherchiert...

    UKSheep | 20:37

  4. Re: Wenn die Musikindustrie

    Umaru | 20:36

  5. Re: Job vergeben

    User_x | 20:30


  1. 19:00

  2. 18:40

  3. 18:20

  4. 18:00

  5. 17:08

  6. 16:49

  7. 15:55

  8. 15:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel