Joomla Security News von Maximusweb

Joomla Security News von Maximusweb - Joomla Schutz vor Exploits,SQL-Injections,XSS-Cross-Site-Scripting, Remote File Inclusions,CSRF-Cross Site Request Forgerys, usw.

Joomla Security News von Maximusweb

Hier veröffentlichen wir regelmäßig Joomla Security News.

Das Content Management System (CMS)Joomla erfreut sich steigender Beliebtheit. Dieser Umstand bringt aber auch ungewollte Ereignisse mit sich. In den letzten Jahren haben sich die Angriffe und die Anzahl der Exploits für Joomla auf das Niveau von Wordpress eingependelt.

Benutzer welche noch Joomla Versionen 1 & 2 benutzen, rate ich dringend auf die aktuelle Version 3 umzusteigen. Die alten Versionen werden nur noch bei extremen Sicherheitslücken geupdated. Alle News die hier erscheinen werden, beziehen sich immer nur auf die aktuelle Version 3!

Content Mangement System Joomla

15.01.2019 Joomla Update 3.9.2

Kritische Sicherheitslücke

Gleich zu Anfang des Jahres 2019 haben die Joomla Entwickler ein großes Updatepaket geschnürt. Das Update beinhaltet die Schließung von 4 Sicherheitslücken und über 50 Fehlerkorrekturen (bugfixes):

Sicherheitslücken
  • Speichern von XSS in mod_banners (betrifft Joomla 2.5.0 bis 3.9.1) Niedrige Priorität
  • Speichern von XSS in com_contact (betrifft Joomla 2.5.0 bis 3.9.1) Niedrige Priorität
  • Speichern von XSS Problem in den globalen Einstellungen im bei Textfilter (betrifft Joomla 2.5.0 bis 3.9.1) Niedrige Priorität
  • Speichern von XSS Problem in den globalen Einstellungen für Hilfeseite (betrifft Joomla 2.5.0 bis 3.9.1)
Fehlerkorrekturen (bugfixes)
  • Beseitigung von Fehlern bei Status in com_finder, com_banners, com_messages und com_users
  • Behebung von Cachingproblemen bei languages, syndicate, random image und login Modulen
  • Editors API erweitert
  • Menüelement Alias-Typ: Umleitung als optional
  • com_media: Normalisierung der hochgeladenen Dateinamen
  • Code-Bereinigung und Namensraum
  • u.v.m.

Die komplette Liste zum Download.

27.11.2018 Joomla Update 3.9.1

Bereits einen Monat nach dem Release der Version 3.9.0 müssen die Joomla Entwickler ein weiteres Update nachreichen:

  • Ein Fehler im Zusammenhang mit PHP 5.3 wurde behoben. Sie sollten aktuell aber PHP Version 7.2 verwenden!
  • Diverse Performanceverbesserungen
  • Der TinyMCE Editor wurde auf Version 4.5.9 geupdated
  • Ein Fehler im Modulmanager sorgte dafür, dass die Modulposition nicht gelöscht werden konnte. Dies ist nun behoben

30.10.2018 Joomla Update 3.9.0

Die Joomla Entwickler haben heute eine neue Version veröffentlicht. Bei diesem Update wurde Joomla um bestimmte Funktionen erweitert:

  • Es können nun Benutzeraktivitäten protokolliert werden, sodaß Admins sehen, wer, wann, was und wo getan hat.
  • Stichwort:DSGVO. Joomla macht es Ihnen nun leichter, die DSGVO Regeln einzuhalten, wenn sich neue Benutzer registrieren.
  • Wenn ein User von seinem Auskunftsrecht Gebrauch machen will, können Sie dies nun per Knopfdruck im Backend veranlassen.

09.10.2018 Joomla Update 3.8.13

Die Version 3.8.13 wurde heute veröffentlicht und schließt ausschließlich Sicherheitslöcher.

Das Update schließt diverse minderschwere Lücken. Wir raten dazu, dieses Update zeitnah einzuspielen. Es gibt derzeit noch keine bekannten Exploits, welche die Lücken aktiv ausnutzen

  • Die Sicherheit des Joomla eigenen Kontaktformulares wurde verbessert (betrifft Joomla 2.5.0 - 3.8.12)
  • Der Access Level für Anmeldungen wurde erhöht (betrifft Joomla 2.5.4 - 3.8.12)
  • Verletzung der Zugriffsrechte in com_tags (betrifft Joomla 3.1.0 bis 3.8.12)
  • Verletzung der Zugriffsrechte bei der Admin Authentifizierung (betrifft Joomla 1.5.0 bis 3.8.12)
  • Verbesserter CSRF Schutz in com_installer (betrifft Joomla 2.5.0 bis 3.8.12))

28.08.2018 Joomla Update 3.8.12

Kritische Sicherheitslücke

Heute wurde wieder einmal eine neue Joomla Version veröffentlicht.

Das Update schließt 3 minderschwere Lücken. Wir raten dennoch, dieses Update zeitnah einzuspielen.Es gibt bereits Exploits, welche die Lücken aktiv ausnutzen:

  • Der Input-Filter für phar stubs wurde verbessert, betrifft Joomla Versionen von 1.5.0 bis 3.8.11
  • Im Frontend Profil wurde eine XSS-Lücke behoben, betrifft Joomla Versionen von 1.5.0 bis 3.8.11
  • ACL Prüfung verbessert - Unzureichende Prüfungen in Bezug auf deaktivierte Felder können zu einer ACL-Verletzung führen. Dies betrifft Joomla Versionen von 3.8.0 bis 3.8.11

14.12.2016 Joomla Update 3.6.5

Kritische Sicherheitslücke

Heute Nacht wurde eine neue Joomla Version veröffentlicht.

Wir raten dringend, dieses Update so schnell als möglich einzuspielen. Das Update behebt 1 gefährliche und 2 minderschwere Lücken. Es gibt bereits Exploits, welche die Lücke aktiv ausnutzen.

Die Exploits werden geführt unter CVE-2016-9838, CVE-2016-9836 und CVE-2016-9837 geführt. Mit der neuen Version wurde ebenso die Sicherheit verbessert. Betroffen sind alle Joomla Versionen von 1.6.0 bis 3.6.4!

25.10.2016 Joomla Update 3.6.4

Kritische Sicherheitslücke

Nachdem nun einige Joomla Updates nicht sicherheitsrelevant waren, haben die Joomla Entwickler heute am 25.10.2016 um 16:00 Uhr ein wichtiges Sicherheitsupdate herausgegeben.

Wir raten dringend dieses Update so schnell als möglich einzuspielen. Das Update behebt 2 gefährliche Lücken, durch welche sich ein Angreifer registrieren kann, obwohl die Registrierung deaktiviert ist. Mit der 2ten Lücke, kann sich dieser neu registrierte User, also der Angreifer, dann Admin Rechte geben.

Diese Angriffsmethode läuft auch ohne Patch ins Leere, wenn Sie Ihren Administrator Ordner per .htaccess Datei mit einem Passwort schützen. Die beiden Exploits werden geführt unter CVE-2016-8869 und CVE-2016-8870.

Betroffen sind alle Joomla Versionen von 3.4.4 bis 3.6.3!

29.12.2015 Joomla Update 3.4.8

Kurz vor Jahresende schieben die Joomla Entwickler noch schnell ein Update auf die Version 3.4.8 ein. Das Update behebt Probleme mit dem Session time-out, ein Datenbankproblem, sowie ein Problem beim Erstellen neuer Inhalte. Einer der Bugs (Fehler) kam wohl mit dem letzten Update.

Ich rate zeitnah auf die aktuelle Joomla Version 3.4.8 zu wechseln. Und damit allen ein schönes neues Jahr!

22.12.2015 Joomla Update 3.4.7

Kritische Sicherheitslücke

Eigentlich sollte mit dem Update auf die Version 3.4.6 die kritische Sicherheitslücke von letzter Woche geschlossen sein. Leider waren die geupdateten Webseiten immer noch angreifbar. Der Fehler lag diesmal bei PHP selbst. Folgende PHP Versionen sollen nicht von der Lücke betroffen sein: 5.4.45, 5.5.29, 5.6.13 und 7. Ich empfehle Webmastern Ihre PHP Version zu überprüfen und ggf. zu ändern.

Betroffen sind alle Joomla Versionen von 1.5 bis 3.4.6!

14.12.2015 Joomla Update 3.4.6

Kritische Sicherheitslücke

Mit dem Update auf die Version 3.4.6 haben die Joomla Entwickler wieder 3 Sicherheitslücken geschlossen. Eine Lücke gilt als besonders kritisch, da relativ einfach Administrationszugriff erlangt werden kann. Die Lücke wird unter der CVE-Nummer CVE-2015-8562 geführt. Die 2 anderen Sicherheitslücken betrafen die Benutzerverwaltung und stellen nur kleinere Schwachstellen dar.

Administratoren und Webmaster sollten nach folgenden Einträgen in den Logfiles suchen:

103.47.132.6 - - [15/Dec/2015:23:20:40 +0100] "GET / HTTP/1.1" 301 456 "http://maximusweb.org/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:102:\"eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST[s]))))));JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\xfd\xfd\xfd"

Das ist ein Beispiel eines Logeintrags einer IP Adresse aus Indonesien. Diese und ähnliche Einträge habe ich auf 2 Projekten gefunden, diese Lücke wird also vermehrt ausgenutzt! Maximusweb Kunden sind sicher, da ich die Updates sehr zeitnah aufgespielt habe.

Betroffen sind alle Joomla Versionen von 1.5 bis 3.4.5!

Den Sicherheitspatch für die Joomla Versionen 1 und 2 bekommen Sie hier: https://docs.joomla.org

22.10.2015 Joomla Update 3.4.5

Kritische Sicherheitslücke

Mit dem Update auf die Version 3.4.5 haben die Joomla Entwickler 3 Sicherheitslücken geschlossen. Eine Lücke gilt als besonders kritisch, da per SQL-Injection Administrationszugriff erlangt werden kann. Die 2 anderen Sicherheitslücken betrafen die Benutzerverwaltung und wurden als kleine Schwachstelle bezeichnet. Die SQL-Injection wird unter den CVE Nummern CVE-2015-7297, CVE-2015-7857 und CVE-2015-7858 aufgeführt.

Ich empfehle dringend auf die aktuelle Version zu wechseln. Bitte machen Sie ein Backup, bevor Sie die aktuelle Version 3.4.5 aufspielen! Maximusweb Kunden brauchen sich keine Sorgen machen, da ich alle Sicherheitsupdates zeitnah einspiele.

Betroffen sind die Joomla Versionen 3.2.0 bis 3.4.4!