Beim ersten Joomla™ Release im Jahr 2010 (Wojmamni ama busani) handelt es sich um ein Sicherheitsupdate. Behoben wurden unter anderem vier Sicherheitslücken, von denen zwei als moderat eingestuft wurden und die beiden anderen als unkritisch gelten.
UPDATE 25.04.2010:
Wie das Joomla! Team heute mitteilt, enthält die Version 1.5.16 zwei bedenkliche Bugs, welche Systeme betrifft die unter PHP vor der Version 5.2 betrieben werden, oder aber die Speicherroutine für die Sitzungen auf Nirgendwo eingestellt haben.
Die nächste Version 1.5.17 ist auf den 27.04.2007 terminiert. Wer von diesen Fehlern betroffen ist und bisher noch nicht auf die neue Version aktualisiert hat, kann die zwei Tage bis zum Erscheinen der neuen Version warten.
Bei den als moderat eingestuften Sicherheitslücken [1] + [2] handelt es sich einmal um eine fehlerhafte Parameter-Validierung, durch die bei der Übergabe von negativen Limit, bzw. Offset Werten sensible Daten des Systems preisgegeben werden und zum anderen um einen Fehler in der Vergabe der Session ID beim Login. Da die ID nicht erneuert wird, kann ein entfernter Angreifer, durch das erfolgreiche Stehlen des alten Session-Cookies, einfach die neue Session übernehmen.
Bei den als unktitisch eingestuften Sicherheitslücken [3] + [4] handelt es sich einmal um einen Fehler im Migrationsskript des Joomla!™ Installers, bei der Typ der hochzuladenden Datei nicht korrekt geprüft wird. Wurde nach der Installation des Systems das Verzeichnis installation nicht ordnungsgemäß gelöscht, oder so umbenannt dass der Name leicht zu erraten lässt, kann ein Angreifer diesen Fehler aussnutzen, um schädliche Software auf den Server zu laden. Der andere Fehler betrifft die Passwort Reset-Tokens, die im Klartext in der Datenbank abgelegt wurden. Dies stellt keine Sicherheitslücke als solche dar, kann jedoch unter Umständen von einem entfernten Angreifer ausgenutzt werden, wenn am System eine Komponente installiert ist, die eine Anfälligkeit für SQL Injections hat.
Betroffen sind alle 1.5er Joomla™ Version bis einschließlich 1.5.15, daher wird empfohlen umgehend auf die neue Version zu aktualisieren. Eine komplette Liste aller Änderungen [5] kann auf der Homepage des Joomla!™ Projekts eingesehen werden.
Links:
|
Startseite 
