Abo
  • Services:
Anzeige
Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter?
Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter? (Bild: Joomla)

Sicherheit: Joomla-Lücke könnte absichtlich platziert worden sein

Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter?
Eine kritische Sicherheitslücke im Joomla-CMS wirft Fragen auf. Stand Absicht dahinter? (Bild: Joomla)

Eine Sicherheitslücke in Joomla bestand seit vielen Jahren, doch ein Bug verhinderte, dass man sie ausnutzen konnte. Dann wurde der Bug gefixt - ohne dass das Sicherheitsproblem entdeckt wurde. Absicht oder nicht?

Im populären Content-Management-System Joomla ist vor kurzem eine sehr kritische Sicherheitslücke gefunden worden. Der Code mit der Sicherheitslücke ist schon seit sehr langer Zeit Teil des Joomla-Projekts - allerdings ist die Lücke in älteren Versionen nicht ausnutzbar. Erst ein Bugfix, der vor etwa einem Jahr durchgeführt wurde, ermöglicht die Ausnutzung der Lücke. Handelt es sich um bewusste Sabotage?

Anzeige

Joomla-Lücke erlaubt Accounterstellung

Das Joomla-Projekt hat am Dienstag die Version 3.6.4 veröffentlicht, die mehrere kritische Sicherheitslücken behebt. Ein Fehler im Modul zur Nutzerverwaltung erlaubt es, unberechtigt einen Account anzulegen. Durch weitere Sicherheitslücken kann dieser Nutzeraccount dann zu einem Administratoraccount aufgewertet werden. Ein Angreifer kann also die komplette Joomla-Installation übernehmen.

In einem Blogpost weist die Webdesignerin Fiona Coulter darauf hin, dass der fehlerhafte Code zur Accounterstellung bereits seit der Version 1.6 und damit seit 2011 in Joomla vorhanden ist. Trotzdem lässt sich der Bug in älteren Joomla-Versionen nicht ausnutzen. Denn ein weiterer Bug sorgt dafür, dass die entsprechende Funktion im Modul zur Benutzerverwaltung schlicht nicht funktioniert. Doch dieser Bug wurde in Version 3.4.4 behoben.

Das dürfte einiges dazu beitragen, dass die Auswirkungen des Bugs begrenzt bleiben, denn viele Webseiten nutzen noch die nicht mehr unterstützte Version 2.5 von Joomla. Es bietet aber auch Raum für Spekulationen: Wusste die Person, die den Bug gefixt hat, von der Sicherheitslücke und hat sie durch den Bugfix erst geöffnet?

Der Bugfix wurde auf Github als Pull-Request eingereicht. Der Account, über den der Bugfix eingereicht wurde, ist offenbar ausschließlich hierfür angelegt worden - denn der entsprechende Patch und der Pull-Request sind die einzigen Aktivitäten, die mit diesem Account jemals durchgeführt wurden.

Natürlich gibt es auch unschuldige Erklärungen für den Vorfall. So könnte ein Webentwickler, der ansonsten nicht auf Github aktiv ist, den Bug gefunden und einen Patch eingereicht haben.

Ähnlicher Vorfall bei Angular.js

So weit hergeholt ist die Idee, dass durch einen Bugfix eine Sicherheitslücke erst geschaffen wird, nicht. Einen ähnlichen Vorfall gab es beim Javascript-Framework Angular.js - allerdings ohne bösartigen Hintergrund. Darüber hatte Mario Heiderich von der Berliner Firma Cure53 in einem Vortrag auf der Ruhrsec-Konferenz berichtet (ab Minute 33).

Mitarbeiter von Cure53 hatten einen Fehler in der Sandbox von Angular.js entdeckt. Dieser Fehler führte dazu, dass ein Bypass für die Sandbox nicht funktionierte. Die Cure53-Mitarbeiter wollten austesten, ob sie den Bugfix einreichen konnten, ohne dass der Sandbox-Bypass bemerkt wurde.

Die Entwicklung von Angular.js wird von Google unterstützt. Die Cure53-Mitarbeiter informierten das Google-Sicherheitsteam über ihren Plan, nicht jedoch die Angular.js-Entwickler selbst. Der entsprechende Pull-Request wurde angenommen. Cure53 informierte anschließend die Angular.js-Entwickler und vor der Veröffentlichung eines neuen Releases wurde der Sandbox-Bypass ebenfalls behoben.

Joomla-Lücke wird bereits aktiv ausgenutzt

Die Joomla-Sicherheitslücken werden bereits aktiv ausgenutzt. Laut der Firma Sucuri begannen erste Massen-Angriffsversuche auf Joomla-Installationen wenige Stunden nach der Veröffentlichung der Lücke. Wer Joomla betreibt und dieses bislang nicht aktualisiert hat, muss also damit rechnen, dass seine Webseite mit hoher Warscheinlichkeit bereits kompromittiert wurde.

Nutzer von populären Content-Management-Systemen müssen dafür sorgen, dass diese immer aktuell gehalten werden, oftmals innerhalb von Stunden. Anders als der Konkurrent Wordpress besitzt Joomla von Haus aus keine automatische Update-Funktion. Es gibt ein Auto-Update allerdings als inoffizielle Erweiterung.

Immer wieder werden sehr kritische Lücken in Joomla oder anderen populären Content-Management-Systemen entdeckt. Im vergangenen Jahr war Joomla zweimal Opfer von ähnlich kritischen Schwachstellen. Auch Drupal war vor einiger Zeit betroffen. Jedesmal, wenn derart kritische Lücken in einer populären Webanwendung gefunden werden, gibt es kurz danach Versuche, diese mittels Internet-weiter Scans auszunutzen.


eye home zur Startseite
MarioWario 30. Okt 2016

1+ - sehe ich auch so. Leider wird auch beim mittlerweile gut gesponsorten OpenSSL so...

funholy 30. Okt 2016

Kritisches Hinterfragen mit allen möglichen Theorien ist ein ganz wichtiger Faktor bei...

Hello_World 30. Okt 2016

Ein Nutzer bemerkt einen Bug, der ihn betrifft, wühlt ein bisschen im Quellcode herum...

luarix 30. Okt 2016

Da ist einer über einen Bug gestolpert und hat diesen gefixt. Dass sich Leute extra dafür...

Tyler_Durden_ 29. Okt 2016

Ja, das Ganze ist spät entdeckt worden. Nein, es war keine Sabotage. Der Bug bestand seit...



Anzeige

Stellenmarkt
  1. Allianz Private Krankenversicherungs-AG, München
  2. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)
  3. ADAC e.V., München
  4. Axians Infoma GmbH, Ulm, Rostock


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. 274,90€ + 3,99€ Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Prozessoren

    AMD bringt Ryzen mit 12 und 16 Kernen und X390-Chipsatz

  2. Spark Room Kit

    Cisco bringt KI in Konferenzräume

  3. Kamera

    Facebook macht schicke Bilder und löscht sie dann wieder

  4. Tapdo

    Das Smart Home mit Fingerabdrücken steuern

  5. 17,3-Zoll-Notebook

    Razer aktualisiert das Blade Pro mit THX-Zertifizierung

  6. Mobilfunk

    Tschechien versteigert Frequenzen für 5G-Netze

  7. Let's Encrypt

    Immer mehr Phishing-Seiten beantragen Zertifikate

  8. E-Mail-Lesen erlaubt

    Koalition bessert Gesetz zum automatisierten Fahren nach

  9. Ransomware

    Scammer erpressen Besucher von Porno-Seiten

  10. Passwort-Manager

    Lastpass fällt mit gleich drei Sicherheitslücken auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vikings im Kurztest: Tiefgekühlt kämpfen
Vikings im Kurztest
Tiefgekühlt kämpfen
  1. Nier Automata im Test Stilvolle Action mit Überraschungen
  2. Torment im Test Spiel mit dem Text vom Tod
  3. Nioh im Test Brutal schwierige Samurai-Action

Gesetzesentwurf: Ein Etikettenschwindel bremst das automatisierte Fahren aus
Gesetzesentwurf
Ein Etikettenschwindel bremst das automatisierte Fahren aus
  1. Autonomes Fahren Uber stoppt nach Unfall Versuch mit selbstfahrenden Taxis
  2. Tesla Autopilot Root versichert autonom fahrende Autos
  3. Autonomes Fahren Kalifornien will fahrerlose Autos zulassen

In eigener Sache: Golem.de sucht Marketing Manager (w/m)
In eigener Sache
Golem.de sucht Marketing Manager (w/m)
  1. In eigener Sache Golem.de geht auf Jobmessen
  2. In eigener Sache Golem.de kommt jetzt sicher ins Haus - per HTTPS
  3. In eigener Sache Unterstützung für die Schlussredaktion gesucht!

  1. Re: Hmmm... zuviel Anime geschaut...

    Dragon Of Blood | 19:54

  2. Re: Wie wäre diese Methode: Nix illegales drauf...

    FreiGeistler | 19:52

  3. Re: Selbstbedienungskassen würden mir schon reichen

    patwoz | 19:52

  4. das thema voip crypted

    triplekiller | 19:49

  5. Re: Erinnert mich an Ray Kurzweil

    oxybenzol | 19:46


  1. 18:51

  2. 18:32

  3. 18:10

  4. 17:50

  5. 17:28

  6. 17:10

  7. 16:45

  8. 16:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel