Joomla JotLoader mit kritischer Sicherheitslücke

Wie soeben bekannt wurde, hat die Download-Komponente JotLoader für Joomla 1.5 eine kritische Sicherheitslücke. 

Joomla Komponente JotLoader mit Sicherheitsproblem

Die Downloadkomponente JotLoader wurde für Joomla 1.5 entwickelt und getestet auf Version 1.5.2

Bei JotLoader handelt es sich um eine Komponente, welche eine zusätzliche Download-Statistik anzeigen kann. Anwender können bei Downloadproblemen zum Beispiel einen Fehlerbericht hinterlassen, der dann von allen zu lesen ist.

Dateien können in verschiedene Kategorien gruppiert werden. Zu jedem File ist eine eigene Beschreibung möglich. 

Der Entwickler verspricht natürlich auch eine ansprechende Darstellung der Downloads. Sicherlich eine interessante Komponente also.

Wie sich jetzt herausstellte, gibt es aber ein kritisches Securityleck bei dieser Komponente. Leider ist es bei der Installation möglich, schädlichen SQL-Code in die Datenbank einzuschleussen. Möglich wird das durch die gezielte Manipulation des Parameters "cid" im Installationsscript von Joomla, in der index.php.

Mit einer Manipulation ist es unter anderem möglich, das Administrator Passwort zu knacken. Dieses Securityleck ist also durchaus sehr ernst zu nehmen. 

Festgestellt wurde das Problem bei Version 1.2.1a von JotLoader. Leider ist es nicht auszuschliessen, daß auch andere Versionen der Joomla-Komponente betroffen sind.

Bisher wurde weder vom Entwickler noch aus anderen Quellen eine Lösung präsentiert. Man könnte sich also allenfalls selbst helfen, indem man den Quellcode entsprechend verändert. Da dies ohne Einarbeitung in die Komponente nicht ohne weiteres möglich sein dürfte, sollte man vorerst auf einen Einsatz des JotLoaders verzichten.

Wer möchte, kann sich JotLoader ja mal genauer ansehen und eventuell einen Patch zur Lösung des Problemes erstellen.

Den Download zu JotLoader gibt es hier. (Link funktioniert nicht mehr und wurde entfernt)