Kritische Sicherheitslücke in Joomla aufgetaucht: Kundenwebsites gepatcht

← zurück zum Blog

Gestern, den 14.12.2015, ist das beliebte Content-Management-System Joomla in Version 3.4.6 erschienen.

Die neue Version schliesst eine kritische Sicherheitslücke, von der alle Joomla-Versionen zwischen 1.5 und 3.4.5 betroffen sind. Die Anweisung der Joomla-Entwickler ist eindeutig: Updaten auf Version 3.4.6!

Joomla-Bug

Alle Joomla-Versionen von 1.5 – 3.4.5 sind von einer kritischen Sicherheitslücke betroffen.

Gemäss den Sicherheitsexperten von Sucuri wird die Lücke bereits aktiv ausgenutzt und hat durch ihre hohe Verbreitung das Potential, enormen Schaden anzurichten. Die Lücke erlaubt es, beliebige Befehle auszuführen und so beispielsweise die Inhalte der Website zu verändern oder zu löschen.

Wir haben vergangene Nacht alle betroffenen Installationen auf unseren Servern automatisch gepatcht und sämtliche Lücken geschlossen. Für cyon-Kunden ist die Gefahr von Angriffen mittels der bekannt gewordenen Sicherheitslücke vorerst gebannt. Wir empfehlen trotzdem, das Update auf Version 3.4.6 sobald wie möglich vorzunehmen. Für offiziell nicht mehr unterstützte Versionen werden Hotfixes bereitgestellt.

Weitere deutschsprachige Informationen zur Sicherheitslücke finden Sie unter anderem bei heise.

Update vom 22.12.2015

Das Joomla-Team hat eine neue Version 3.4.7 nachgereicht, da sich die in Version 3.4.6 geschlossene Lücke bei älteren Versionen von PHP weiterhin ausnutzen liess (vgl. z.B. heise). Auf unseren Servern sind flächendeckend neuere Versionen von PHP im Einsatz, womit die Gefahr grundsätzlich gebannt ist. Dennoch empfehlen wir ein Update auf die neueste Version 3.4.7.

3 Kommentare

  1. Danke.

    Was ist Eure Quelle für Joomla Updates, die sicherheitsrelevant sind? Ich finde keine vernünftige Mailingliste, die zeitnah informiert.

    Der Feed unter http://feeds.joomla.org/JoomlaSecurityNews ist nicht verlässlich, Mails kommen derzeit gar nicht an.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog