Wie ein Lauffeuer ist die Meldung durchs Netz gegangen, dass alle verfügbaren Joomla Versionen eine massive Sicherheitslücke haben. So ist es dem Angreifer möglich die komplette Kontrolle über eine Joomla Installation zu bekommen. Ohne, dass er das Passwort kennt, ohne das er über unsichere 3rd Party Extensions eindringen muss! Die überraschend bekannt gewordene Sicherheitslücke hat ihren Urpsrung im Joomla Core. Kommt nun doch noch ein Joomla 1.0.14 Release und wie kann man sich gegen vermeintliche Angriffe schützen?

Angriffsbeschreibung

Der Angriff kann anscheinend über die Verwendung eines speziell präparierten Links und über die Browser Cookies erfolgen. Ist der Joomla Webmaster in seinem Projekt im Backend eingeloggt und surft, z.B. über ein anderes Firefox Tab, gleichzeitig auf anderen Webseiten und klickt dann schließlich zufällig auf den kompromittierten Link, ist der Angriff erfolgreich. Der Angreifer hat sich über die aktuell geöffnete Admin Session Zugang verschafft. Der Webmaster findet dann plötzlich einen zweiten Super-Administrator Account im Joomla Backend. Im Normalfall ist dann alles schon zu spät. 

Die Sicherheitslücke betrifft alle Joomla Versionen - 1.0.13 und 1.5 inbegriffen. 

Maßnahmen für 1.0.x und 1.5

• Die wohl einzig wirksame Maßnahme gegen dieses immense Sicherheitsrisiko ist:
• wenn im Backend eingeloggt, nicht über den gleichen Browser parallel im Internet surfen
• wenn die Arbeiten im Backend beendet wurden, per Logout ausloggen
• Nicht einfach das Tab oder das Fenster schließen!
• Komplettbackup anlegen und dieses speziell kennzeichnen, z.B. Backup_SessionAttack.zip

Joomla 1.0.14 in Aussicht

Aufgrund dieses massiven Joomla Core Problems, wird schon heftigst darüber gemunkelt, ob bald ein neues Joomla Release erscheinen wird! Joomla 1.0.14 - daran hätte wohl kaum einer gedacht - gerade jetzt, wo Joomla 1.5 Final in greifbarer Nähe liegt. Die Joomla Sicherheitslücke ist aber so massiv, das ein neues Joomla 1.0.14. Release realistisch erscheint. Bleibt zu hoffen, dass dieses Release nicht so fehlerbehaftet wie das aktuelle 1.0.13 Release sein wird (Admin Session Problem). 

Joomla unsicher?

Vorsicht vor vorschnellen Verallgemeinerungen. Weltweit nutzen ca. 5 Millionen Webmaster das Joomla CMS. Bekannt ist die Tatsache, dass wohl keine Software 100% sicher designed sein kann. Es finden sich immer irgendwelche Löcher - man muss nur danach suchen. 

Das aktuelle Sicherheitsloch ist nicht durch einen Angriff bekannt geworden, sondern durch aufmerksame Joomla Coder, die sich im Joomla Code auskennen wie kaum ein anderer. So kann man diese Sicherheitsmeldung nur als positiv bezeichnen, denn die Community wurde durch einige äußerst fähige Leute vor eventuellen Angriffen gewarnt.

>> Entsprechender Diskussionsthread im Joomla.org Forum

joomla template xtypo yigg version google blog templates code backup dies  

Kommentare

Neuer Kommentar Suche RSS

aak  - invalid Session Joomla 1.0.14     ID:212.56.243.xxx 21-02-2008 22:52:46 Habe ein Joomla 1.0.12 installiert, alles lief OK, wollte unbedingt für das Projekt einige an 1.0.13 lauffähige Module einbauen, haben daher 12 auf 13 geupdatet, ich arbeitete vorher seit einem Jahr problemlos mit 1.0.12. Das Update auf 13, problemlos, sämtliche Komponenten und Module, außer dem Ajax Popup ohne Probleme. Ich lese die 13 er Sicherheitshinweise und ziehe " 1.0.14 " über die Installation. Kein Problem, läuft alles. Nun habe ich im Rahmen des Projektes sechs Subdomains angelegt und das erste lauffähige Joomla 1.0.12 jeweils geupdatet, kein Problem, alles OK, ich ziehe 13 darüber, alles OK, ich ziehe 14 darüber, Frontend völlig OK, nur bei drei Subdomains und mittlerweilen bei der 1. Installation komme ich nicht mehr ins Bacckend. Eventuell hat da jemand das gleiche Problem und die Lösung? Es sind überall völlig gleiche Module ect. Einstellungen usw., alles auf einem Server, Rechte und Benutzer gleich. Ich nahm erst an, evt. liegt es am DocMan 1.4.1 habe ich geupdatet, am VirtueMart, auch nicht. Was auffällt, lösche ich die betroffene Datenbank, lege diese neu an und kopiere die DB einer lauffähigen Subdomain hinein, spielt es erst einmal, bis ich dann ohne irgendwelches zutun erneut nicht mehr in's Backend komme. Es laufen aus bisher ungeklärten Gründen nur auf drei Subdomains die Favicons? die anderen [gleichen] erscheinen einfach nicht. Ich nutze in dem Projekt für mich neu: CSS Weiche, mxComment, Userlist XDT, RD Glossary, RD RSS, RD Siddemap, Module: page peel, FirstEye Menu, Content Slider, c-slide, alle mit evtuell zugehörigen Boots, Ajax Header + Popup sind im Moment deaktiviert. Alle anderen Komponenten und Module laufen in über 50 Seiten völlig OK. Beste Grüße, ich bastle mal weiter. Antworten | Zitat 1   0

Joomla Blog  - Joomla 1.0.14 Krimi   ID:217.235.167.xxx 21-02-2008 23:11:40 Hi aak und tnx für deine Message! Ein wahrer Joomla 1.0.14 Krimi! Ich habe bis jetzt alle Joomla 1.0.13 Projekte nicht auf Joomla 1.0.14 geupdated. Wahrscheinlich weil ich Joomla 1.0.15 im Blut hatte - hoffentlich wirds bald released. Zu Deinem verrückten Problem: Wenn man das rein logisch betrachtet, muss es also ganz klar an der Joomla Installation liegen. Ich kenne das Backend Login Problem von Joomla 1.0.13 - War damals ein Core Problem. Nur: Mit einem Code Hack konnte die Sache auf allen Projekten behoben werden - ohne Ausnahme. Deshalb meine Vermutung: Zwar überschreibst du die Joomla Installation mit den "frischen" Joomla Dateien aus einer "frisch" runtergeladenen Joomla 1.0.14 Zip Datei. Aber es geht beim Upload auf den Server etwas schief (Dateirechte etc.). Mach doch am besten ein Backup der Problemseite - lösche alle Core Dateien manuell und lade dann eine frische Installation hoch.  Ansonsten weiß ich grad auch nicht weiter... Ich weiß nur eins: Den Joomla 1.0.x Upgrade Marathon kann und will ich aktuell nicht mitmachen :D Antworten | Zitat 0   0

aak  - invalid Session Joomla 1.0.14     ID:212.56.243.xxx 22-02-2008 15:22:07 Hallo und danke für deine Antwort, ich versuche es jetzt noch mal mit 1.0.15, denke aber auch alle Subdomains jeweils neu installieren wird die sauberste Lösung, oder zurück auf 1.0.12 Antworten | Zitat 0   0

Joomla Blog  - Viel Erfolg!   ID:217.235.180.xxx 22-02-2008 15:23:26 Ist wahrscheinlich die beste Option - viel Erfolg! Antworten | Zitat 0   0

Kommentar schreiben
Name:
Email:	benachrichtigennicht benachrichtigen
Website:
Titel:
UBBCode:	-Farbe-AquaSchwarzBlauFuchsiaGrauGrünHellgrünBraunMarineblauOlivPurpurrotRotSilberBlaugrünWeissGelb -Grösse-winzigkleinmittelgrossriesig
	Bitte den Anti-Spam Code eingeben.

Powered by !JoomlaComment 3.26

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."

Nächster Artikel: >> Upgrade 1.0.14 RC - Invalid Session ?.