Joomla-Version 3.4.6 stopft kritische Sicherheitslücke

Das freie Content-Managment-System Joomla ist in den Versionen 1.5.0 bis 3.4.5 verwundbar. Dabei können Angreifer dem System Code unterjubeln und diesen ausführen. Das Joomla-Team stuft den Schwergrad der Lücke als hoch ein und rät Nutzern, die abgedichtete Version 3.4.6 sofort einzuspielen. Über Angriffe ist aktuell nichts bekannt.

Aber Obacht: Auf der offiziellen Downloadseite findet sich derzeit noch die verwundbare Version 3.4.5. Nutzer von älteren, nicht mehr unterstützten Versionen finden den Sicherheitspatch auf einer speziellen Seite. Die abgesicherte Version 3.4.6 bringt keine neuen Funktionen mit und enthält ausschließlich die Sicherheitspatche, erläutert das Joomla-Team.

Den Entwicklern zufolge können Angreifer beim Schreiben von Session-Werten eines Webbrowsers in die Datenbank ansetzen, um Code in das CMS zu schieben. Dabei soll ein Filter nicht korrekt arbeiten. Weitere Details finden sich nicht in der Beschreibung der Entwickler. Das Joomla-Team berichtet, dass sie am 13. Dezember 2015 von der Lücke erfahren haben; die abgesicherte Version erschien einen Tag später.

Weitere Lücken mit niedriger Dringlichkeit

Version 3.4.6 soll zudem zwei weitere, mit einem niedrigen Schweregrad eingestufte Lücken schließen. Dabei können Angreifer in den Versionen 3.4.0 bis 3.4.5 aufgrund eines Problems beim Lesen der XML-Datei im Joomla-Installationspaket Zugriff auf Dateien bekommen (Directory Traversal). Der zweite mit niedrig eingestufte Sicherheitspatch sichert den Entwicklern zufolge die com_templates weiter gegen Cross-Site-Request-Forgery-Angriffe ab. Betroffen sind dabei die Versionen 3.2.0 bis 3.4.5.

[UPDATE, 15.12.2015 09:35 Uhr]

Den Kryptologen der Sicherheitsfirma Sucuri zufolge können Angreifer die Lücke vergleichsweise einfach ausnutzen. Zudem soll es bereits einen Exploit und Übergriffe geben. (des)