Deutsch | English

Kritische Sicherheitslücke in Joomla Core (Updates verfügbar)

14. Dezember 2015

Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl an installierten Joomla Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Wie heute bekannt wurde, gibt es eine Sicherheitslücke im Input Handling von Joomla Core. Ein Patch für dieses Problem wurde bereits veröffentlicht.

Auswirkungen

Angreifer können durch diese Lücke, indem sie einen speziell präparierten HTTP-Request senden, beliebigen Code im Kontext der Joomla-Installation ausführen. Dies kann unter Umständen zur vollständigen Kompromitierung der Joomla-Instanz führen.

Da laut Sucuri die Lücke bereits vor Veröffentlichung der Schwachstelle aktiv ausgenutzt wurde, ist davon auszugehen, dass diese bald verstärkt Anwendung finden wird.

Betroffene Systeme

Alle Joomla-Installationen von Version 1.5.0 bis inkl. Version 3.4.5.

Weitere Details sind in einer Meldung von Sucuri bzw. dem Advisory von Joomla verfügbar.

Abhilfe

  • Upgrade auf Version 3.4.6, Download zB via joomla.org oder über die eingebaute Update-Funktionalität ("Control Panel -> Maintenance").

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Blogeintrag von Sucuri (englisch)
https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html
[20151214] - Core - Remote Code Execution Vulnerability
https://developer.joomla.org/security-centre/630-20151214-core-remote-code-execution-vulnerability.html
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution - Patches nun verfügbar
10. April 2017 | Update ...
mehr ...
Wartungsarbeiten Donnerstag, 20. 4. 2017
18. April 2017 | Am Donnerstag ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/12/14 - 20:34:12
Haftungsausschluss