VEGAS Pro 21

Sicherheitslücke in Joomla

Joomla ist eines der besten Content Management Systeme, die es gibt. Was besser ist, kostet Geld. Joomla kostet nix.

joomla

Leider gibt es seit Ende Dezember ein extrem gefährliches Sicherheitsproblem mit der aktuellen Joomla-Version 1.0.13

Worum es sich handelt und was man tun kann, lesen Sie hier... 

CSRF Schwachstelle in Joomla 1.0.13

Eine wirklich sehr gefährliche Cross Site Request Forgery Schwachstelle ist in der aktuellen Joomla-Version 1.0.13 seit Ende Dezember bekannt geworden.

Über Javascript-Code ist es möglich, ein Super Admin Konto anzulegen. Es dürfe allen klar sein, was man damit anstellen kann.

Um diesen Code einschleussen zu können, muss das Opfer allerdings als Super Admin im Backend eingeloggt sein und in einem zweiten Fenster die Seite mit dem bösartigen Code geöffnet haben.

  Leider ist gerade dies sehr häufig der Fall. Stellen Sie sich vor, Sie schreiben einen Artikel und recherchieren während des Schreibens auf weiteren Webseiten in einem oder mehreren Tab´s neben dem Backend. Schon wird es extrem gefährlich.

In Joomla 1.5 RC4 wurde das Problem bereits behoben. Nur ist diese Version noch nicht als Stabil veröffentlicht worden. Für Produktiveinsätze ist das 1.5er Joomla also leider noch nicht zu gebrauchen. Da es sich aber um den letzten Release-Candidate handelt, muss man wohl nicht mehr allzulange auf das neue Joomla warten.

Bei der momentan aktuellen und stabilen Version 1.0.13 besteht dieses Sicherheitsrisiko leider immer noch. Wie wir erfahren konnten, wird aber bereits mit Nachdruck an der Behebung dieses Problems gearbeitet. Ein Update dürfte also in Kürze erfolgen.

Was sollte man also tun als Anwender der aktuellen Joomla Version 1.0.13?

Auch wenn es nervt, aber wenn man Artikel schreibt und gleichzeitig Online recherchiert, sollte man vorläufig besser einen Offline-Editor benutzen. Aber nicht gerade eine Textverarbeitungssoftware wie Word oder OpenOffice. Man muss ja seine Texte mit Copy & Paste später in den Joomla-Editor übertragen. Da will man ja nicht die ganzen Steuerzeichen mitkopieren.

Man muss sich also immer zuerst aus dem Backend ausloggen. Erst dann sollte man irgendwelche Seiten für die Recherche öffnen. 

  Erst wenn diese Seiten wieder geschlossen sind, sollte man sich im Backend als Super Administrator anmelden. Solange man angemeldet ist, also keine weiteren Seiten öffnen.

Sobald die Lücke gestopft wurde, werden wir wieder darüber berichten. 

Speichern
Cookies Einstellungen
Wir verwenden Cookies, um Ihnen das beste Erlebnis auf unserer Webseite zu ermöglichen. Wenn Sie die Verwendung von Cookies ablehnen, funktioniert diese Website möglicherweise nicht wie erwartet.
Alle akzeptieren
Alle ablehnen
Essential
Für grundlegende Funktionalität der Website notwendig
Website
Akzeptieren
Marketing
Eine Reihe von Techniken, die die Handelsstrategie und insbesondere die Marktstudie zum Gegenstand haben.
Diverse
Akzeptieren
Ablehnen
Functional
Tools, die Ihnen beim Navigieren auf der Website mehr Funktionen bieten, dies kann soziales Teilen einschließen.
Osano
Akzeptieren
Ablehnen
Analytics
Werkzeuge zur Analyse der Daten, um die Wirksamkeit einer Webseite zu messen und zu verstehen, wie sie funktioniert.
Google Analytics
Akzeptieren
Ablehnen