Abo
  • Services:
Anzeige
Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter?
Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter? (Bild: Joomla)

Sicherheit: Joomla-Lücke könnte absichtlich platziert worden sein

Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter?
Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter? (Bild: Joomla)

Eine Sicherheitslücke in Joomla bestand seit vielen Jahren, doch ein Bug verhinderte, dass man sie ausnutzen konnte. Dann wurde der Bug gefixt - ohne dass das Sicherheitsproblem entdeckt wurde. Absicht oder nicht?

Im populären Content-Management-System Joomla ist vor kurzem eine sehr kritische Sicherheitslücke gefunden worden. Der Code mit der Sicherheitslücke ist schon seit sehr langer Zeit Teil des Joomla-Projekts - allerdings ist die Lücke in älteren Versionen nicht ausnutzbar. Erst ein Bugfix, der vor etwa einem Jahr durchgeführt wurde, ermöglicht die Ausnutzung der Lücke. Handelt es sich um bewusste Sabotage?

Anzeige

Joomla-Lücke erlaubt Accounterstellung

Das Joomla-Projekt hat am Dienstag die Version 3.6.4 veröffentlicht, die mehrere kritische Sicherheitslücken behebt. Ein Fehler im Modul zur Nutzerverwaltung erlaubt es, unberechtigt einen Account anzulegen. Durch weitere Sicherheitslücken kann dieser Nutzeraccount dann zu einem Administratoraccount aufgewertet werden. Ein Angreifer kann also die komplette Joomla-Installation übernehmen.

In einem Blogpost weist die Webdesignerin Fiona Coulter darauf hin, dass der fehlerhafte Code zur Accounterstellung bereits seit der Version 1.6 und damit seit 2011 in Joomla vorhanden ist. Trotzdem lässt sich der Bug in älteren Joomla-Versionen nicht ausnutzen. Denn ein weiterer Bug sorgt dafür, dass die entsprechende Funktion im Modul zur Benutzerverwaltung schlicht nicht funktioniert. Doch dieser Bug wurde in Version 3.4.4 behoben.

Das dürfte einiges dazu beitragen, dass die Auswirkungen des Bugs begrenzt bleiben, denn viele Webseiten nutzen noch die nicht mehr unterstützte Version 2.5 von Joomla. Es bietet aber auch Raum für Spekulationen: Wusste die Person, die den Bug gefixt hat, von der Sicherheitslücke und hat sie durch den Bugfix erst geöffnet?

Der Bugfix wurde auf Github als Pull-Request eingereicht. Der Account, über den der Bugfix eingereicht wurde, ist offenbar ausschließlich hierfür angelegt worden - denn der entsprechende Patch und der Pull-Request sind die einzigen Aktivitäten, die mit diesem Account jemals durchgeführt wurden.

Natürlich gibt es auch unschuldige Erklärungen für den Vorfall. So könnte ein Webentwickler, der ansonsten nicht auf Github aktiv ist, den Bug gefunden und einen Patch eingereicht haben.

Ähnlicher Vorfall bei Angular.js

So weit hergeholt ist die Idee, dass durch einen Bugfix eine Sicherheitslücke erst geschaffen wird, nicht. Einen ähnlichen Vorfall gab es beim Javascript-Framework Angular.js - allerdings ohne bösartigen Hintergrund. Darüber hatte Mario Heiderich von der Berliner Firma Cure53 in einem Vortrag auf der Ruhrsec-Konferenz berichtet (ab Minute 33).

Mitarbeiter von Cure53 hatten einen Fehler in der Sandbox von Angular.js entdeckt. Dieser Fehler führte dazu, dass ein Bypass für die Sandbox nicht funktionierte. Die Cure53-Mitarbeiter wollten austesten, ob sie den Bugfix einreichen konnten, ohne dass der Sandbox-Bypass bemerkt wurde.

Die Entwicklung von Angular.js wird von Google unterstützt. Die Cure53-Mitarbeiter informierten das Google-Sicherheitsteam über ihren Plan, nicht jedoch die Angular.js-Entwickler selbst. Der entsprechende Pull-Request wurde angenommen. Cure53 informierte anschließend die Angular.js-Entwickler und vor der Veröffentlichung eines neuen Releases wurde der Sandbox-Bypass ebenfalls behoben.

Joomla-Lücke wird bereits aktiv ausgenutzt

Die Joomla-Sicherheitslücken werden bereits aktiv ausgenutzt. Laut der Firma Sucuri begannen erste Massen-Angriffsversuche auf Joomla-Installationen wenige Stunden nach der Veröffentlichung der Lücke. Wer Joomla betreibt und dieses bislang nicht aktualisiert hat, muss also damit rechnen, dass seine Webseite mit hoher Warscheinlichkeit bereits kompromittiert wurde.

Nutzer von populären Content-Management-Systemen müssen dafür sorgen, dass diese immer aktuell gehalten werden, oftmals innerhalb von Stunden. Anders als der Konkurrent Wordpress besitzt Joomla von Haus aus keine automatische Update-Funktion. Es gibt ein Auto-Update allerdings als inoffizielle Erweiterung.

Immer wieder werden sehr kritische Lücken in Joomla oder anderen populären Content-Management-Systemen entdeckt. Im vergangenen Jahr war Joomla zweimal Opfer von ähnlich kritischen Schwachstellen. Auch Drupal war vor einiger Zeit betroffen. Jedesmal, wenn derart kritische Lücken in einer populären Webanwendung gefunden werden, gibt es kurz danach Versuche, diese mittels Internet-weiter Scans auszunutzen.


eye home zur Startseite
MarioWario 30. Okt 2016

1+ - sehe ich auch so. Leider wird auch beim mittlerweile gut gesponsorten OpenSSL so...

funholy 30. Okt 2016

Kritisches Hinterfragen mit allen möglichen Theorien ist ein ganz wichtiger Faktor bei...

Hello_World 30. Okt 2016

Ein Nutzer bemerkt einen Bug, der ihn betrifft, wühlt ein bisschen im Quellcode herum...

luarix 30. Okt 2016

Da ist einer über einen Bug gestolpert und hat diesen gefixt. Dass sich Leute extra dafür...

Tyler_Durden_ 29. Okt 2016

Ja, das Ganze ist spät entdeckt worden. Nein, es war keine Sabotage. Der Bug bestand seit...



Anzeige

Stellenmarkt
  1. Bechtle Onsite Services GmbH, Augsburg
  2. über Hays AG, Nordrhein-Westfalen
  3. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  4. Robert Bosch GmbH, Leonberg


Anzeige
Blu-ray-Angebote
  1. 1 Monat für 1€
  2. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Anbieterbezeichnung so langsam überholt

    Golressy | 02:39

  2. Re: Macht da bitte nicht mit

    sofries | 02:33

  3. Re: Activision patentiert Förderung von Krebs

    sofries | 02:17

  4. Re: Kosten ...

    DAUVersteher | 02:11

  5. Re: 50MBps

    bombinho | 02:01


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel