Joomla 1.5.x Sicherheitsupdate

Joomla SicherheitswarnungUnbedingt einen Update für alle Joomla Installationen 1.5.x machen!

Die Entwickler des Content Management Systems Joomla! warnen vor einer kritischen Sicherheitslücke in der Passwort-Reset-Funktion, die auch bereits aktiv ausgenutzt wird, um Web-Seiten zu manipulieren.

Der Sicherungsmechanismus zum Zurücksetzen des Passworts lässt sich durch einen Fehler bei der Überprüfung des Tokens leicht umgehen. Das hat zur Folge, dass ein Angreifer das Passwort des ersten angelegten Accounts ändern kann. Da dies normalerweise ein Administrator-Zugang ist, stehen ihm damit Tür und Tor offen.

Betroffen sind alle Versionen 1.5.x bis einschließlich 1.5.5. Erst 1.5.6 behebt das Problem. Wer seine Installation nicht sofort aktualisieren kann, sollte möglichst schnell den von den Entwicklern angegebenen Workaround umsetzen. Dazu genügt eine kleine Änderung in /components/com_user/models/reset.php. Dort ist in Zeile 113 nach global $mainframe der folgende Code zum Überprüfen der Eingabe einzufügen:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

Es kursieren bereits detaillierte Anleitungen, wie der triviale Angriff durchzuführen ist. Somit ist beim Update äußerste Eile angesagt.

MTW OFFICE on EmailMTW OFFICE on FacebookMTW OFFICE on GoogleMTW OFFICE on LinkedinMTW OFFICE on PinterestMTW OFFICE on TumblrMTW OFFICE on TwitterMTW OFFICE on Youtube
MTW OFFICE
Geb. im August 1964 und bis zum 34. Lebensjahr in Hamburg Wohnhaft. Nach der Geburt unseres Sohnes zogen wir in die Nähe von Flensburg auf das Land, wo wir zusammen mit meinen Schwiegereltern auf einen Resthof leben.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.