Neues

Folge uns auf Twitter

Folge uns auf Twitter

Es lohnt sich, Ahadesign aufTwitterzu folgen, um keine Neuigkeiten zu Bildbearbeitung, Webdesign Tutorials, Reviews, Testberichte, News, Downloads und Verlosungen zu verpassen. Wer Twitter nicht mag oder eine zusätzliche Möglichkeit sucht, um immer auf dem neuesten Stand zu sein, kann auch gerne denAhadesign-RSS-Feedkostenfrei abonnieren.

SeedingUp | Digital Content Marketing


Sicherheitslücke in Joomla

Joomla ist eines der besten Content Management Systeme, die es gibt. Was besser ist, kostet Geld. Joomla kostet nix.

joomla

Leider gibt es seit Ende Dezember ein extrem gefährliches Sicherheitsproblem mit der aktuellen Joomla-Version 1.0.13

Worum es sich handelt und was man tun kann, lesen Sie hier... 

CSRF Schwachstelle in Joomla 1.0.13

Eine wirklich sehr gefährliche Cross Site Request Forgery Schwachstelle ist in der aktuellen Joomla-Version 1.0.13 seit Ende Dezember bekannt geworden.

Über Javascript-Code ist es möglich, ein Super Admin Konto anzulegen. Es dürfe allen klar sein, was man damit anstellen kann.

Um diesen Code einschleussen zu können, muss das Opfer allerdings als Super Admin im Backend eingeloggt sein und in einem zweiten Fenster die Seite mit dem bösartigen Code geöffnet haben.

  Leider ist gerade dies sehr häufig der Fall. Stellen Sie sich vor, Sie schreiben einen Artikel und recherchieren während des Schreibens auf weiteren Webseiten in einem oder mehreren Tab´s neben dem Backend. Schon wird es extrem gefährlich.

In Joomla 1.5 RC4 wurde das Problem bereits behoben. Nur ist diese Version noch nicht als Stabil veröffentlicht worden. Für Produktiveinsätze ist das 1.5er Joomla also leider noch nicht zu gebrauchen. Da es sich aber um den letzten Release-Candidate handelt, muss man wohl nicht mehr allzulange auf das neue Joomla warten.

Bei der momentan aktuellen und stabilen Version 1.0.13 besteht dieses Sicherheitsrisiko leider immer noch. Wie wir erfahren konnten, wird aber bereits mit Nachdruck an der Behebung dieses Problems gearbeitet. Ein Update dürfte also in Kürze erfolgen.

Was sollte man also tun als Anwender der aktuellen Joomla Version 1.0.13?

Auch wenn es nervt, aber wenn man Artikel schreibt und gleichzeitig Online recherchiert, sollte man vorläufig besser einen Offline-Editor benutzen. Aber nicht gerade eine Textverarbeitungssoftware wie Word oder OpenOffice. Man muss ja seine Texte mit Copy & Paste später in den Joomla-Editor übertragen. Da will man ja nicht die ganzen Steuerzeichen mitkopieren.

Man muss sich also immer zuerst aus dem Backend ausloggen. Erst dann sollte man irgendwelche Seiten für die Recherche öffnen. 

  Erst wenn diese Seiten wieder geschlossen sind, sollte man sich im Backend als Super Administrator anmelden. Solange man angemeldet ist, also keine weiteren Seiten öffnen.

Sobald die Lücke gestopft wurde, werden wir wieder darüber berichten. 

Cookies erleichtern die Bereitstellung unserer Dienste. Über deren Verwendung kann hier frei entschieden werden.
Datenschutzerklärung Ok Ablehnen