Vom Entdecken der Lücke bis zum Release des Patch vergingen gestern gerademal 2h 50Min, wie developer.joomla.org berichtet. Dies ist ein rekordverdächtiges Tempo, wenn man bedenkt, welche Hürden es zu nehmen gibt, bis man einen neuen Release erstellt und veröffentlicht hat. Dabei waren ca. 20-30 Personen involviert.
Damit beweist das Joomla! Coreteam, dass es in Sachen Fexibilität und Zusammenarbeit (Teamwork) äusserst professionell reagiert hat.
Nachfolgend ein paar Pressestimmen aus dem deutschsprachigen Raum zum gestrigen Joomla! Patch-Day:
Joomla! legt Security-Patch nach
Der Entwickler – Deutschland
Installation zurückzusetzen, haben die Joomla!-Developer ein Security-Update auf die Version 1.5.6 eingeschoben. Nach Angaben der Entwickler betrifft das…
Kritische Sicherheitslücke in Joomla
Golem.de – Deutschland
Eine kritische Sicherheitslücke im CMS Joomla gefährdet damit realisierte Webseiten und wird bereits aktiv ausgenutzt. Angreifer können unter nicht seltenen…
Kritische Lücke in Joomla! wird aktiv ausgenutzt
Heise Newsticker – Deutschland
Die Entwickler des Content Management Systems Joomla! warnen vor einer kritischen Sicherheitslücke in der Passwort-Reset-Funktion, die auch bereits aktiv…
Angreifer übernehmen Administrator-Account bei CMS Joomla!
SearchSecurity.de – Deutschland
Bei den Entwicklern der Open-Source-Lösung Joomla! liegt derzeit anscheinend einiges im Argen. Nachdem die Programmierer eine kritische Sicherheitslücke in …
Kritische Sicherheitslücke in Joomla!
Webmasterpro.de – Deutschland
Nach Angaben der Entwickler betrifft das Problem die Joomla!-Versionen 1.5.0 bis 1.5.5. Das aktualisierte Joomla! kann hier heruntergeladen werden. …
Bei dieser Lücke bewies das Joomla! Team, dass das CMS wohl weit verbreitet und daher auch angreifbarer ist, als kleinere Projekte, aber dass im Falle beim Entdecken einer Lücke auch schnell gehandelt wird.
Sicher wurden noch weitere Artikel zum Thema geschrieben. Haben Sie weitere Artikel aus der Fachpresse entdeckt? Dann hinterlassen Sie uns einen Kommentar.
Update 23.08.2008:
Kunden von unserem Hostingpartner cyon.ch dürfen sich freuen. Denn der Hoster hat serverseitig die Lücke gleich selber dicht gemacht. In deren Bolg steht: Inzwischen ist es auf allen cyon-Servern nicht mehr möglich, diese Sicherheitslücke auszunutzen. Das von uns eingesetzte Apache-Modul mod_security fängt einen entsprechenden Versuch ab.
Doch diese, vom Hoster geleistete Sicherheit, sollte nicht fahrlässig aufs Spiel gesetzt werden. Ein Update auf die neue Version ist nach wie vor Pflicht!
An dieser Stelle Danke an cyon.ch für die Unterstützung. Es zeigt einmal mehr, dass sich die Wahl des richtigen Hosting Partners auszahlt.