Kurz nach Veröffentlichung der Version 3.4.6 hat das Joomla-Projekt nun ein weiteres Update für sein Contentmanagement-System herausgebracht, welches zwei Sicherheitslücken behebt. Eine der Lücken wird hoch priorisiert.
Security-Lecks geschlossen mit Joomla 3.4.7!
Gerade mal eine Woche ist es her, als das Upgrade Joomla 3.4.6 zum Download zur Verfügung gestellt wurde. Damit hatte man auf eine sehr kritische Lücke reagiert. Betroffen waren seit Joomla 1.5, alle Versionen.
Auch jetzt sind wieder sämtliche Versionszweige des CMS von einer möglichen Remote Code Execution betroffen. Offensichtlich hatten die Entwickler das Problem zunächst nicht vollumfänglich richtig eingeschätzt. Nun ist man sich sicher, PHP selbst als Schuldigen bezichtigen zu können.
Zwar gibt es inzwischen aktualisierte PHP-Versionen, welche jedoch sicher noch nicht auf allen Servern eingesetzt werden. Somit sollten laut Joomla-Projekt, alle Versionen von Joomla 1.5 bis 3.4.6, auf Joomla 3.4.7 erneuert werden, um sie vor der Ausführung von schädlichem Code zu schützen.
Wer bereits den 3er-Zweig verwendet, für den ist das Upgrade kaum ein Problem. Für alle anderen gibt es inoffizielle Quellen, welche es noch immer erlauben, Sicherheitslecks zu beheben. Genauere Informationen hierzu sind in nachfolgend genanntem Artikel zu finden.
Joomla Sicherheitsalarm in Upgrade 3.4.6!
Leider ist bei diesen inoffiziellen Quellen derzeit noch keine Aktualisierung zu dem jetzt vorliegenden Problem zu finden und möglicherweise wird es auch keine geben. Eventuell ist der letzte Patch für Joomla 1.5 und 2.5 ausreichend.
Die niedriger eingestufte, mögliche SQL-Injection betrifft dagegen nur Joomla ab Version 3.0.0.