Kategorien: Sicherheit

Aktuelle Joomla!-Version unsicher?

Teilen

Das Wichtigste vorweg: Wenn du eine aktuelle Joomla! (Version 3.9.3 oder höher) sowie eine aktuelle PHP ab Version 7.x hast, kannst du beruhigt sein. Dich betrifft diese Meldung nicht.

Aktuelle Joomla!-Version unsicher: NEIN!

Gestern ist auf joomla.org eine Klarstellung veröffentlicht worden, die für Verwunderung sorgte. Zwei «Sicherheitsfirmen» vermeldeten eine Lücke in der JMail-Klasse von Joomla!. Das Kuriose an der Meldung war, dass sie es unterlassen haben, zu präzisieren, welche Joomla!-Versionen von dieser Lücke betroffen sind.

Da der Artikel am 5. März 2019 erschienen ist, befürchtete man, dass es sich um die aktuelle Joomla!-Version handeln könnte. Das ist nicht der Fall!

Die dort vermeldete Lücke wurde bereits im Dezember 2015 erkannt und gestopft. Wir J!-Admins können uns gut daran erinnern.


Werbung


Das wurde jetzt von joomla.org mit dieser Meldung klargestellt, dass alle aktuellen Installationen mit aktueller PHP Version sicher sind. Das Wichtigste daraus zusammengefasst:

  • es gibt keine aktuell bekannte Lücke in der JMail Klasse
  • das im Artikel genannte Problem bezieht sich auf ein Leck in der PHP-Version und ist daher kein Joomla!-Problem
  • der Angriff ist nur möglich, wenn die PHP Version älter als 3 Jahre ist
  • die Schwachstelle wurde in der Joomla! Version 3.4.7 gestopft
  • die im Bericht genannte JMail-Datei war keine Core Originaldatei, sondern eine manipulierte Datei, die den gleichen Namen verwendete, welche dann die Hintertür ermöglichte
  • die manipulierte Datei kann die Core JMail Klasse nicht übersteuern

Falls du noch eine PHP 5.4 oder älter hast sowie eine Joomla! 3.4.6 oder älter, dann bist du möglicherweise gefährdet.

Angreifer könnten die php mail() Funktion missbrauchen, um über deine Seite (Hintertür/Backdoor) Spam zu versenden. Das schadet deiner Domain (Reputation) und deinem Hoster. Dann solltest du schleunigst was unternehmen und deine Seite updaten. Was du sowieso immer machen solltest!

Falls dich jemand auf diese Meldung ansprechen sollte, ob die aktuelle Joomla! unsicher sei, dann weisst du nun Bescheid.

Quelle: joomla.org

Roger Perren

Letzte Beiträge

Das Joomla! 3.9.4 Update ist da!

Das Joomla! 3.9.4 Update behebt vier Sicherheitslücken, wovon eine als hoch und vier als niedrig eingestuft wurden sowie 28 gemeldete… Weiterlesen

2 Wochen vorher

Joomla!Magazin – Wie soll es weitergehen?

Im Oktober 2018 erschien die vorerst letzte Ausgabe des Joomla!Magazins. Nun soll es von einer Gruppe von interessierter Freiwilligen wiederbelebt… Weiterlesen

3 Wochen vorher

Joomla! Zertifizierung, was bleibt?

Das Joomla!-Projekt hat viel Geld in sein JCP (Joomla Certification Program) investiert. Was ist der Stand heute und was für… Weiterlesen

1 Monat vorher

Das Joomla! 3.9.3 Update ist da!

Das Joomla! 3.9.3 Update behebt sechs als niedrig eingestufte Sicherheits-Lücken und weitere 30 gemeldete Probleme, die in diesem Release behoben… Weiterlesen

1 Monat vorher

Die Joomla! Broschüre ist da!

Das Joomla!-Projekt hat nun auch eine eigene Informations-Broschüre, so wie es unser Joomla!-Club bereits 2010 hatte. Sie ist auch auf… Weiterlesen

2 Monaten vorher

Optimierter Redaktions-Workflow

Es gab viele Gründe, die Joomla!Info Website zu modernisieren. Nebst vielen praktischen Gründen gibt es auch fünf technische Gründe, die… Weiterlesen

2 Monaten vorher