Hier könnte deine Werbung stehen! So wie das hier:

Kategorien: LeseaboSicherheit

Neuer DB Sicherheits-Check im Joomla!-Installer

Teilen

Seit dem gestrigen Joomla!-Update 3.7.4 hält ein neuer Sicherheits-Check für das Einbinden von einer externen Datenbank Einzug.

So soll der Eigentümer der Installation vor Abschluss der Installation verifiziert werden, wenn er für die Installation eine externe Datenbank anbinden will.

Dieser Inhalt ist nur für die Abo Leser. Bitte anmelden oder ein Lese Abo lösen.

Üblicherweise wird beim Datenbankserver “localhost” als Serverpfad eingegeben. Jedoch könnte man auch jede x-beliebige IP Adresse mit einem DB-Server angesprochen werden. Dieser könnte sich irgendwo im Internet befinden.

Denkt man etwas weiter und sucht im Netz gezielt nach unvollendeten Joomla!-Installationen, wäre es theoretisch möglich, über das Einbinden einer externen Datenbank die Kontrolle der Joomla!-Instanz zu übernehmen. Deshalb wurde diese Sicherheits-Lücke im gestrigen Update als “Hoch” eingestuft.

Meldung bei der Installation

Nun hat man im Joomla-Installer eine neue Routine eingebaut, die eine Art Cookie/Token im Root des Installations-Ordners setzt. Dies passiert beim Schritt 2 “Datenbank” und nur dann, wenn als Serverpfad die Angabe einer IP-Adresse zu einem anderen Server eingegeben wird.

Blick in den Installations-Ordner im Datei-Browser

Der Benutzer muss dann zuerst diese Datei löschen, um zu bestätigen, dass er der Besitzer dieser Installation ist. Anschliessend kann die Installation wie gewohnt fortgesetzt werden.

Dieser zusätzliche Sicherheitsschritt ist im gestrigen Update als “Hoch” eingestuft worden, betrifft aber nur Neuinstallationen, in welchem der Installations-Ordner noch nicht gelöscht ist. Auf Bestandes-Installationen hat dieser Workarround keinen Einfluss.

Inzwischen ist bekannt geworden, dass bei Webservern, wo man für das Schreiben von Dateien, FTP-Rechte benötigt, die Datei vom Installer nicht automatisch angelegt werden kann. Für dieses Problem gibt es einen Workarround: Man übernimmt den Dateinamen, der im Installer angezeigt wird und legt ihn manuell an. Dabei wird die Datei mit identischem Namen über FTP angelegt und anschliessend wieder gelöscht. Auf diese Weise wird das Vorhandensein der Datei und das anschliessende Löschen bestätigt und die Installation kann fortgesetzt werden. Für dieses Problem gibt es bereits ein Ticket, welches wohl im kommenden Joomla-Update behoben sein wird.

Quelle: docs.joomla.org[/groups_member]

Roger Perren @joomlainfo1

Letzte Beiträge

Umbau abgeschlossen

Nach einem Jahr im WordPress Pilot-Betrieb wurden jetzt an der Website umfassende Optimierungsarbeiten durchgeführt. Jetzt sind die Arbeiten mehrheitlich abgeschlossen. Weiterlesen

vor 10 Stunden

Akeeba Alternativen

Mit dem 7.x Release kürzt Akeeba seine Funktionen in der kostenlosen Coreversion. Hier ein paar Alternativen, wenn man nicht auf… Weiterlesen

vor 3 Tagen

Joomla! 3.9.13 Update erschienen!

Das Joomla! 3.9.13 Update behebt zwei kleinere Sicherheits-Lücken sowie 26 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 1 Monat

Neues Spring Template fürs Backend von Joomla! 4

Erfrischend neues Joomla! 4 Admin-Template namens «Spring» vorgestellt. Ich habe das neue Template angeschaut und meine ersten Eindrücke als Vor-… Weiterlesen

vor 1 Monat

Joomla! 4 und neue Freunde kennenlernen

Kann man kostenlos Joomla! 4.0 besser kennenlernen und gleichzeitig noch neue Joomla!Spezialisten kennenlernen? Weiterlesen

vor 2 Monaten

Strukturierte Daten in Joomla! einbauen

Wie bekomme ich meine FAQ Inhalte schön strukturiert in die Google Suchmaschine? Franz Hollweck zeigt dir in diesem Artikel, wie… Weiterlesen

vor 2 Monaten