Gestern Abend hat Joomlatools ein inoffizielles Security Patch für Joomla 1.5.7 veröffentlicht. Nur Stunden später hat sich Anthony Ferrara zur dieser Veröffentlichung geäussert. Dabei rät er dringend von der Installation dieses inoffiziellen Patches ab.
Alle Joomla! Benutzer sind angehalten, das Patch nicht zu installieren und auf das offizielle Update von Joomla! 1.5.8 zu warten.
Wie Mathias Verraes von Joomlatools geschrieben hat, haben Sie anlässlich eines Security Bootcamps Anfang Oktober eine XSS-Lücke in den Artikelparametern der Joomla! 1.5.7 entdeckt, welche sie auch gleich dem JSST (Joomla Security Strike Team) gemeldet haben. Da nun ein entsprechendes Update von Seiten des Joomla! Coreteams länger auf sich warten liess und die Bug-Meldung einfach ohne Begründung gelöscht wurde, entschloss man sich, ein eigenes Patch zur Version 1.5.7 zu veröffentlichen.
Nur wenige Stunden später, aufgrund dieses Forumsbeitrages, hat sich der Chefentwickler Anthony Ferrara im Teamblog zu Wort gemeldet. Dabei weist er darauf hin, dass die Lücke nicht so gravierend sei, wie es in dem besagten Artikel beschrieben ist. Man habe aus rein sicherheitstechnischen Überlegungen die Bug-Meldung aus dem öffentlichen Bereich des Trackers entfernt. Er rät allen Joomla! Benutzern, auf die Installation dieses Patches zu verzichten, da gleichzeitig mit diesem Patch wichtige Schutzfunktionen deaktiviert werden und „Folgeschäden“ an der eigenen Joomla! Installation nicht auszuschliessen sind.
Das Stopfen dieser gemeldeten Lücke wird im ordentlichen Update auf Joomla! 1.5.8, welche sowieso in den nächsten Tagen erscheinen wird, enthalten sein.
Des weiteren verurteilt Anthony solche inoffiziellen Publikationen von Drittanbietern aufs Schärfste. Bei solchen Sachen gelte die absolute Null-Toleranz und schade einzig dem Projekt! Es ist für Ihn unverständlich, was solche Leute motiviert, solche Aktionen zu machen.