Kritische Sicherheitslücke in Joomla aufgetaucht: Kundenwebsites gepatcht
David Burkardt
Kategorie:in
CMS & Co.
Veröffentlicht am 15. Dez. 2015
Aktualisiert am 2. Okt. 2023
Gestern, den 14.12.2015, ist das beliebte Content-Management-System Joomla in Version 3.4.6 erschienen.
Die neue Version schliesst eine kritische Sicherheitslücke, von der alle Joomla-Versionen zwischen 1.5 und 3.4.5 betroffen sind. Die Anweisung der Joomla-Entwickler ist eindeutig: Updaten auf Version 3.4.6!
Gemäss den Sicherheitsexperten von Sucuri wird die Lücke bereits aktiv ausgenutzt und hat durch ihre hohe Verbreitung das Potential, enormen Schaden anzurichten. Die Lücke erlaubt es, beliebige Befehle auszuführen und so beispielsweise die Inhalte der Website zu verändern oder zu löschen.
Wir haben vergangene Nacht alle betroffenen Installationen auf unseren Servern automatisch gepatcht und sämtliche Lücken geschlossen. Für cyon-Kunden ist die Gefahr von Angriffen mittels der bekannt gewordenen Sicherheitslücke vorerst gebannt. Wir empfehlen trotzdem, das Update auf Version 3.4.6 sobald wie möglich vorzunehmen. Für offiziell nicht mehr unterstützte Versionen werden Hotfixes bereitgestellt.
Weitere deutschsprachige Informationen zur Sicherheitslücke finden Sie unter anderem bei heise.
Update vom 22.12.2015
Das Joomla-Team hat eine neue Version 3.4.7 nachgereicht, da sich die in Version 3.4.6 geschlossene Lücke bei älteren Versionen von PHP weiterhin ausnutzen liess (vgl. z.B. heise). Auf unseren Servern sind flächendeckend neuere Versionen von PHP im Einsatz, womit die Gefahr grundsätzlich gebannt ist. Dennoch empfehlen wir ein Update auf die neueste Version 3.4.7.
Beteilige dich an der Diskussion
3 Kommentare
Für uns ist Twitter mittlerweile der schnellste Kanal. Wir haben für die beliebtesten CMS eine Twitter-Liste erstellt: https://twitter.com/cyon/lists/top-5-cms
Danke.
Twitter ist schnell aber leider wenig verläslich. Wenn ein Tweet vergessen/verloren/überlesen ging, ist man nicht informiert.
Hat jemand bessere Quellen?
Danke.
Was ist Eure Quelle für Joomla Updates, die sicherheitsrelevant sind? Ich finde keine vernünftige Mailingliste, die zeitnah informiert.
Der Feed unter http://feeds.joomla.org/JoomlaSecurityNews ist nicht verlässlich, Mails kommen derzeit gar nicht an.