Eine Woche nach dem letzten Sicherheits-Update hat das Joomla!Projekt heute ein weiteres Update als Version Joomla! 3.4.7 zum Download nachgeschoben. Darin werden eine kritische und eine weniger kritische Lücke geschlossen.
Das Problem ist nicht im Joomla! Kern selber zu finden, sondern in nicht sicheren PHP Versionen (älter als PHP 5.4.45, 5.5.29, 5.6.13). Das Joomla! 3.4.7 Update soll helfen, dass diese nicht aktuellen PHP Versionen Ziel von Angreifern werden.
Bereits beim letzten Update stellte man fest, dass die entdeckten Sicherheitsprobleme mit der PHP-Engine selber zusammenhängen und nicht von Joomla selber ausgehen. So entschied man sich nun ein weiteres Update nachzulegen, um das Ausnützen veralteter PHP-Versionen (älter als PHP 5.4.45, 5.5.29, 5.6.13) einzugrenzen.
Das PHP-Projekt hat im September bereits reagiert und die Lücken geschlossen. Haben die Hoster ihre PHP-Versionen bis heute nicht auf dem neusten Stand gebracht, besteht die Gefahr dass Joomla!-Installationen über diese veraltete PHP-Versionen verwundbar sind. Und hier setzt das neue Update an. Es soll die verwundbaren PHP Versionen zusätzlich schützen.
Download
Neue Installationen: Link zum Joomla! 3.4.7 (Vollpaket) Download »
Anleitung für neue Installationen und technische Anforderungen
Update Pakete: Link zum Joomla! 3.4.7 (Update Paket) Download »
Hinweis: Bitte beachte vor dem Update die Aktualisierungshinweise . Bitte lösche nach dem Update deinen Browser Cache.
Behobene Sicherheitsprobleme
- Hohe Priorität – Core – Session Hardening Execution (betrifft Joomla 1.5 bis 3.4.6) Mehr Informationen »
- Geringe Priorität – Core – SQL Injection (betrifft Joomla 3.0.0 bis 3.4.6) Mehr Information »
Mit dieser Version auftretende Probleme werden in der Joomla Dokumentation bei der Version 3.4.7 FAQ gesammelt.
Sind ältere Joomla! Installationen auch wieder betroffen?
Ja! Auch Installationen von 1.5.xx und 2.5.xx können auf veralteten PHP Versionen laufen. Daher hat man auch hier vorbeugende Massnahmen im veralteten Joomla! Kern getroffen. Hier eine kurze Anleitung, wie du deine veralteten Versionen patchen kannst.
Download der korrigierten Dateien:
- die gepatchte Joomla! 1.5.xx session.php hier downloaden und in vorhandener Installation überschreiben
- die gepatchte Joomla! 2.5.xx session.php hier downloaden und in vorhandener Installation überschreiben
Sind die Dateien ersetzt, sollte deine 1.5.x und 2.5.x wieder abgesichert sein. Weitere Informationen zu den EOL-Versionen gibt es hier.
Grosses Dankeschön
Danke an das Joomla! Security Strike Team für das rasche Beheben der Lücken. Danke auch an Akeeba, der dem JSST geholfen hat, den Session Handler sicherer zu machen.
Joomla Security Strike Team
Ein grosser Dank geht an das Sicherheitsteam, welches darauf achtet, dass Joomla! sicher bleibt. Mitarbeiter sind:: Matias Aguirre, Michael Babker, Beat B., Mark Boos, Marco Dings, Matias Griese, Thomas Hunziker, David Jardin, Alan Langford, Jean-Marie Simonet, Phil Taylor, Viktor Vogel, George Wilson, Davide Tampellini.
Security Team-Verantwortlicher: Viktor Vogel, Koordinator
Quelle: www.joomla.org