Angebliches Sicherheitspatch für Joomla 1.5.7 sorgt für Verwirrung

Joomla! 1.5

Gestern Abend hat Joomlatools ein inoffizielles Security Patch für Joomla 1.5.7 veröffentlicht. Nur Stunden später hat sich Anthony Ferrara zur dieser Veröffentlichung geäussert. Dabei rät er dringend von der Installation dieses inoffiziellen Patches ab.
Alle Joomla! Benutzer sind angehalten, das Patch nicht zu installieren und auf das offizielle Update von Joomla! 1.5.8 zu warten.

Wie Mathias Verraes von Joomlatools geschrieben hat, haben Sie anlässlich eines Security Bootcamps Anfang Oktober eine XSS-Lücke in den Artikelparametern der Joomla! 1.5.7 entdeckt, welche sie auch gleich dem JSST (Joomla Security Strike Team) gemeldet haben. Da nun ein entsprechendes Update von Seiten des Joomla! Coreteams länger auf sich warten liess und die Bug-Meldung einfach ohne Begründung gelöscht wurde, entschloss man sich, ein eigenes Patch zur Version 1.5.7 zu veröffentlichen.

Nur wenige Stunden später, aufgrund dieses Forumsbeitrages, hat sich der Chefentwickler Anthony Ferrara im Teamblog zu Wort gemeldet. Dabei weist er darauf hin, dass die Lücke nicht so gravierend sei, wie es in dem besagten Artikel beschrieben ist. Man habe aus rein sicherheitstechnischen Überlegungen die Bug-Meldung aus dem öffentlichen Bereich des Trackers entfernt. Er rät allen Joomla! Benutzern, auf die Installation dieses Patches zu verzichten, da gleichzeitig mit diesem Patch wichtige Schutzfunktionen deaktiviert werden und  “Folgeschäden” an der eigenen Joomla! Installation nicht auszuschliessen sind.

Das Stopfen dieser gemeldeten Lücke wird im ordentlichen Update auf Joomla! 1.5.8, welche sowieso in den nächsten Tagen erscheinen wird, enthalten sein.

Des weiteren verurteilt Anthony solche inoffiziellen Publikationen von Drittanbietern aufs Schärfste. Bei solchen Sachen gelte die absolute Null-Toleranz und schade einzig dem Projekt! Es ist für Ihn unverständlich, was solche Leute motiviert, solche Aktionen zu machen.

Auch wir von Joomlanews empfehlen Ihnen, niemals solche angeblichen Sicherheitspatchs von Drittanbietern zu installieren, die nicht offiziell von joomla.org kommen.
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest
Share on whatsapp
WhatsApp
Share on email
Email

Das könnte dich auch interessieren...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Schon Aboleser?

Suche dir jetzt eines der Leseabos aus und profitiere von vielen Vorteilen als Aboleser!