Wie bereits berichtet, ist die stabile Version 1.5 von Joomla nach langer Zeit am 23. Januar 2008 veröffentlicht worden. Kaum veröffentlicht, ist auch schon die erste Sicherheitslücke bekannt geworden.
Erstes Security-Leck in Khepri
Gerade einmal zwei Wochen ist die stabile Joomla Version 1.5 verfügbar. Schon ist ein Sicherheitsproblem aufgetaucht.
Der böse Angreifer kann Beiträge manipulieren oder sogar löschen. Erreicht wird dies über einen manipulierten HTTP-Request, der zum Server gesendet wird. Allerdings taucht das Problem nur dann auf, wenn die XML-RPC-Blogger-API verwendet wird.
Diese API wird auch von anderen Contentmanagementsystemen wie zum Beispiel Wordpress verwendet und verursacht auch dort die gleichen Probleme. Es ist also nicht unbedingt ein Joomla-Problem.
Die Entwickler haben umgehend reagiert und dieses Problem hoch priorisiert. Inzwischen steht auch schon ein Fix im Subversion bereit. Hier wurden auch noch einige andere Kleinigkeiten gefixt.
Eine Version 1.5.1 wird wohl in Kürze erscheinen.
Alle Joomla! Anwender welche das XML-RPC Blogger API plugin verwenden, sollten es deaktivieren!
Alle die dieses Plugin nicht verwenden, müssen sich weiter keine Gedanken machen. Das Plugin lässt sich im Pluginmanager deaktivieren und ist in der Voreinstellung nicht aktiviert. In den allermeisten Fällen wird es wohl ausreichen, auf die 1.5.1 zu warten, welche schon in Arbeit ist.
