Kritische Sicherheitslücke in Joomla! aufgetaucht

← zurück zum Blog

Im beliebten Content Management System Joomla! ist eine kritische Sicherheitslücke aufgetaucht, welche es ermöglicht, das Passwort für den Administrator-Zugang zu ändern und sich so Zugang zum Administratorbereich zu beschaffen. Betroffen sind die Versionen 1.5.x bis und mit 1.5.5. Weitere Details finden sich auf der Entwicklerseite (Englisch) oder beispielsweise bei heise.de (Deutsch).

Inzwischen ist es auf allen cyon-Servern nicht mehr möglich, diese Sicherheitslücke auszunutzen. Das von uns eingesetzte Apache-Modul mod_security fängt einen entsprechenden Versuch ab.

Dennoch empfehlen wir dringend allen Kunden, welche eine verwundbare Joomla!-Version im Einsatz haben, ihre Installation auf die neueste Version 1.5.6 zu aktualisieren oder zumindest den entsprechenden Patch einzuspielen. Für Letzteres muss die Datei /components/com_user/models/reset.php ab Zeile 113 (nach global $mainframe;) mit folgenden Zeilen ergänzt werden:

if(strlen($token) != 32) {
$this->setError(JText::_(‚INVALID_TOKEN‘));
return false;
}

Falls Sie dazu weitere Fragen haben, können Sie sich gerne an unseren Support wenden.

Ein Kommentar

  1. Ich konnte tatsächlich plötzlich nicht mehr als Admin einloggen. Zum Glück habe ich mir einen Zweitzugang installiert und konnte so das Passwort zurücksetzen. Zuerst dachte ich eigentlich an einen Fehler meinerseits, nach dieser Meldung ist mir aber klar war vorging. Seit dem Update auf Joomla 1.5.6 ist wieder Ruhe.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog