Angebliches Sicherheitspatch für Joomla 1.5.7 sorgt für Verwirrung

Teilen

Gestern Abend hat Joomlatools ein inoffizielles Security Patch für Joomla 1.5.7 veröffentlicht. Nur Stunden später hat sich Anthony Ferrara zur dieser Veröffentlichung geäussert. Dabei rät er dringend von der Installation dieses inoffiziellen Patches ab.
Alle Joomla! Benutzer sind angehalten, das Patch nicht zu installieren und auf das offizielle Update von Joomla! 1.5.8 zu warten.

Wie Mathias Verraes von Joomlatools geschrieben hat, haben Sie anlässlich eines Security Bootcamps Anfang Oktober eine XSS-Lücke in den Artikelparametern der Joomla! 1.5.7 entdeckt, welche sie auch gleich dem JSST (Joomla Security Strike Team) gemeldet haben. Da nun ein entsprechendes Update von Seiten des Joomla! Coreteams länger auf sich warten liess und die Bug-Meldung einfach ohne Begründung gelöscht wurde, entschloss man sich, ein eigenes Patch zur Version 1.5.7 zu veröffentlichen.

Nur wenige Stunden später, aufgrund dieses Forumsbeitrages, hat sich der Chefentwickler Anthony Ferrara im Teamblog zu Wort gemeldet. Dabei weist er darauf hin, dass die Lücke nicht so gravierend sei, wie es in dem besagten Artikel beschrieben ist. Man habe aus rein sicherheitstechnischen Überlegungen die Bug-Meldung aus dem öffentlichen Bereich des Trackers entfernt. Er rät allen Joomla! Benutzern, auf die Installation dieses Patches zu verzichten, da gleichzeitig mit diesem Patch wichtige Schutzfunktionen deaktiviert werden und  “Folgeschäden” an der eigenen Joomla! Installation nicht auszuschliessen sind.

Das Stopfen dieser gemeldeten Lücke wird im ordentlichen Update auf Joomla! 1.5.8, welche sowieso in den nächsten Tagen erscheinen wird, enthalten sein.

Des weiteren verurteilt Anthony solche inoffiziellen Publikationen von Drittanbietern aufs Schärfste. Bei solchen Sachen gelte die absolute Null-Toleranz und schade einzig dem Projekt! Es ist für Ihn unverständlich, was solche Leute motiviert, solche Aktionen zu machen.

Auch wir von Joomlanews empfehlen Ihnen, niemals solche angeblichen Sicherheitspatchs von Drittanbietern zu installieren, die nicht offiziell von joomla.org kommen.
Roger Perren

Letzte Beiträge

Joomla! 3.9.13 Update erschienen!

Das Joomla! 3.9.13 Update behebt zwei kleinere Sicherheits-Lücken sowie 26 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 2 Wochen

Neues Spring Template fürs Backend von Joomla! 4

Erfrischend neues Joomla! 4 Admin-Template namens «Spring» vorgestellt. Ich habe das neue Template angeschaut und meine erste Eindrücke als Vor-… Weiterlesen

vor 3 Wochen

Joomla! 4 und neue Freunde kennenlernen

Kann man kostenlos Joomla! 4.0 besser kennenlernen und gleichzeitig noch neue Joomla!Spezialisten kennenlernen? Weiterlesen

vor 1 Monat

Strukturierte Daten in Joomla! einbauen

Wie bekomme ich meine FAQ Inhalte schön strukturiert in die Google Suchmaschine? Franz Hollweck zeigt dir in diesem Artikel, wie… Weiterlesen

vor 2 Monaten

Joomla! 3.9.12 Update erschienen!

Das Joomla! 3.9.12 Update behebt eine kleinere Sicherheits-Lücke sowie 33 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 2 Monaten

Interview mit Hannes Papenberg zu Joomla! 4

Ich hatte die Gelegenheit, mit Hannes Papenberg ein paar Fragen zu stellen. Erfahre hier, was Hannes im Joomla! Projekt alles… Weiterlesen

vor 3 Monaten