Kritische Sicherheitslücke in Joomla aufgetaucht: Kundenwebsites gepatcht

David Burkardt
Autor:

David Burkardt

Kategorie:

in

CMS & Co.

Veröffentlicht am 15. Dez. 2015

Gestern, den 14.12.2015, ist das beliebte Content-Management-System Joomla in Version 3.4.6 erschienen.

Die neue Version schliesst eine kritische Sicherheitslücke, von der alle Joomla-Versionen zwischen 1.5 und 3.4.5 betroffen sind. Die Anweisung der Joomla-Entwickler ist eindeutig: Updaten auf Version 3.4.6!

Joomla-Bug

Alle Joomla-Versionen von 1.5 – 3.4.5 sind von einer kritischen Sicherheitslücke betroffen.

Gemäss den Sicherheitsexperten von Sucuri wird die Lücke bereits aktiv ausgenutzt und hat durch ihre hohe Verbreitung das Potential, enormen Schaden anzurichten. Die Lücke erlaubt es, beliebige Befehle auszuführen und so beispielsweise die Inhalte der Website zu verändern oder zu löschen.

Wir haben vergangene Nacht alle betroffenen Installationen auf unseren Servern automatisch gepatcht und sämtliche Lücken geschlossen. Für cyon-Kunden ist die Gefahr von Angriffen mittels der bekannt gewordenen Sicherheitslücke vorerst gebannt. Wir empfehlen trotzdem, das Update auf Version 3.4.6 sobald wie möglich vorzunehmen. Für offiziell nicht mehr unterstützte Versionen werden Hotfixes bereitgestellt.

Weitere deutschsprachige Informationen zur Sicherheitslücke finden Sie unter anderem bei heise.

Update vom 22.12.2015

Das Joomla-Team hat eine neue Version 3.4.7 nachgereicht, da sich die in Version 3.4.6 geschlossene Lücke bei älteren Versionen von PHP weiterhin ausnutzen liess (vgl. z.B. heise). Auf unseren Servern sind flächendeckend neuere Versionen von PHP im Einsatz, womit die Gefahr grundsätzlich gebannt ist. Dennoch empfehlen wir ein Update auf die neueste Version 3.4.7.

Beteilige dich an der Diskussion

3 Kommentare

Fabian
Fabian 15. Dez. 2015 11:55

Danke.

Was ist Eure Quelle für Joomla Updates, die sicherheitsrelevant sind? Ich finde keine vernünftige Mailingliste, die zeitnah informiert.

Der Feed unter http://feeds.joomla.org/JoomlaSecurityNews ist nicht verlässlich, Mails kommen derzeit gar nicht an.

Philipp Zeder
Philipp Zeder cyon
15. Dez. 2015 12:18

Für uns ist Twitter mittlerweile der schnellste Kanal. Wir haben für die beliebtesten CMS eine Twitter-Liste erstellt: https://twitter.com/cyon/lists/top-5-cms

Fabian
Fabian 18. Dez. 2015 12:00

Danke.
Twitter ist schnell aber leider wenig verläslich. Wenn ein Tweet vergessen/verloren/überlesen ging, ist man nicht informiert.

Hat jemand bessere Quellen?