Kritische Sicherheitslücke in Joomla! aufgetaucht

Im beliebten Content Management System Joomla! ist eine kritische Sicherheitslücke aufgetaucht, welche es ermöglicht, das Passwort für den Administrator-Zugang zu ändern und sich so Zugang zum Administratorbereich zu beschaffen. Betroffen sind die Versionen 1.5.x bis und mit 1.5.5. Weitere Details finden sich auf der Entwicklerseite (Englisch) oder beispielsweise bei heise.de (Deutsch).

Inzwischen ist es auf allen cyon-Servern nicht mehr möglich, diese Sicherheitslücke auszunutzen. Das von uns eingesetzte Apache-Modul mod_security fängt einen entsprechenden Versuch ab.

Dennoch empfehlen wir dringend allen Kunden, welche eine verwundbare Joomla!-Version im Einsatz haben, ihre Installation auf die neueste Version 1.5.6 zu aktualisieren oder zumindest den entsprechenden Patch einzuspielen. Für Letzteres muss die Datei /components/com_user/models/reset.php ab Zeile 113 (nach global $mainframe;) mit folgenden Zeilen ergänzt werden:

if(strlen($token) != 32) {
$this->setError(JText::_(‘INVALID_TOKEN’));
return false;
}

Falls Sie dazu weitere Fragen haben, können Sie sich gerne an unseren Support wenden.