Technische Warnung des Bürger-CERT
———————————-

TECHNISCHE WARNUNG TW-T17/0026
Titel: Sicherheitsupdate für den Google Chrome Browser
Datum: 10.03.2017
Risiko: hoch

ZUSAMMENFASSUNG
Google veröffentlicht die Version 57.0.2987.98 des Chrome Browsers für
Linux, Windows sowie Mac OS X und macOS Sierra und schließt damit
mehrere, teilweise vom Hersteller als schwerwiegend eingestufte
Sicherheitslücken.

BETROFFENE SYSTEME
– Chromium vor 57.0.2987.98
– Google Chrome vor 57.0.2987.98
– Apple Mac OS X
– macOS Sierra
– GNU/Linux
– Microsoft Windows

EMPFEHLUNG
Aktualisieren Sie den Chrome Browser mit Hilfe der von Google
bereitgestellten Sicherheitsupdates möglichst zügig, um eine erfolgreiche
Ausnutzung der Sicherheitslücken zu verhindern. Die entsprechende
Software-Download-Referenz finden Sie anbei.

BESCHREIBUNG
Chromium ist die Open-Source Variante des Google Chrome Browsers.
Chromium ist für verschiedene Betriebssysteme, u.a. für BSD, Linux und
Windows verfügbar.

Chrome ist ein kostenfreier Webbrowser des Google-Konzerns. Er ist für
Windows (ab Windows XP), Mac OS X, Linux, Android und iOS verfügbar. Das
Programm ist ein integraler Bestandteil des Google Chrome OS.

Im Google Chrome Browser vor Version 57.0.2987.98 für Linux, Microsoft
Windows sowie Mac OS X und macOS Sierra existieren 36 zum Teil
schwerwiegende Sicherheitslücken, die von den verfügbaren
Sicherheitsupdates behoben werden. Ein Angreifer aus dem Internet kann
diese Sicherheitslücken ausnutzen, um beliebige Programmbefehle auf Ihrem
System zur Ausführung zu bringen, wodurch er dieses eventuell stark
beschädigen kann. Einem Angreifer ist weiterhin das Ausspähen von
Informationen und die Darstellung falscher Informationen möglich. Er kann
intendierte Sicherheitsvorkehrungen des Systems umgehen und mittels
Denial-of-Service (DoS)-Angriffen die Verfügbarkeit der Anwendung
beeinträchtigen.

QUELLEN
– Update Google Chrome auf die aktuelle Version

– Chrome Stable Channel Update, 09. März 2017 (Englisch)

———————————————————————–
Diese Technische Warnung ist ein kostenloses Service-Angebot des
Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht
übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: =

Technische Warnung des Bürger-CERT
———————————-

TECHNISCHE WARNUNG TW-T17/0025
Titel: Sicherheitsupdates für VMware Workstation Pro und Player
Datum: 10.03.2017
Risiko: hoch

ZUSAMMENFASSUNG
In Windows-basierten Gast-Systemen existieren mehrere Sicherheitslücken,
durch die ein Angreifer aus dem Netzwerk seine Rechte auf Systemrechte
erhöhen oder verschiedene Denial-of-Service (DoS)-Angriffe durchführen
kann.

BETROFFENE SYSTEME
– VMware Player vor 12.5.3
– VMware Workstation vor 12.5.3
– Microsoft Windows

EMPFEHLUNG
Installieren Sie die von VMware zur Verfügung gestellten
Sicherheitsupdates. Diese können Sie über die VMware Webseite
herunterladen (Referenz anbei).

BESCHREIBUNG
VMware Player ist eine Software, mit der fertig eingerichtete virtuelle
Maschinen “abgespielt” werden können, also eine Art Viewer.

VMware Workstation ermöglicht die Virtualisierung von Betriebssystemen.

Mehrere Sicherheitslücken in den VMware Produkten Workstation Pro und
Player für Windows-Betriebssysteme ermöglichen die virtuelle Maschine
(VM) zum Absturz zu bringen oder die Ausweitung von Rechten auf der
Host-Maschine, auf der die VMware Workstation installiert ist. Gerade
durch die Ausweitung der Rechte kann ein Angreifer unvorhersehbaren
Schaden auf einem System anrichten.

QUELLEN
– VMware Security Advisories VMSA-2017-0003 (Englisch)

———————————————————————–
Diese Technische Warnung ist ein kostenloses Service-Angebot des
Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht
übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: =

Technische Warnung des Bürger-CERT
———————————-

TECHNISCHE WARNUNG TW-T17/0023 UPDATE 1
Titel: Sicherheitsupdates für Android
Datum: 08.03.2017
Risiko: sehr hoch

ZUSAMMENFASSUNG
Google schließt für Smartphones und ähnliche Geräte mit Google Android
mehr als 100 Sicherheitslücken, von denen etwa ein Drittel vom Hersteller
als kritisch eingestuft werden. Bisher wurden Informationen zu
Sicherheitsupdates für Google Nexus-Geräte, Google Android One, Google
Pixel und verschiedene Smartphones von Samsung veröffentlicht.

Aktualisierung am 08. März 2017:
BlackBerry veröffentlicht im Kontext des Google Android Security
Bulletins (March 2017) ein Sicherheitsupdate für Smartphones mit dem
Betriebssystem ‘BlackBerry powered by Android’ und adressiert damit
insgesamt 71 Sicherheitslücken. Das Update ist analog zu Google Android
durch die Bezeichnung ‘Patch Level March 5, 2017’ identifizierbar.
BlackBerry empfiehlt ein Update auf die neueste verfügbare Version des
Betriebssystems. Die Verfügbarkeit des Updates kann von Zwischenhändlern
und regionalen Netzbetreibern abhängen.

Auch LG stellt jetzt Informationen zu dem verfügbaren März-Update (Patch
Level [2017-03-01]) bereit. LG behebt 54 der von Google aufgeführten
Sicherheitslücken, darunter 16 die als kritisch eingestuft sind. In
diesem Monat werden zusätzlich allerdings keine LG-spezifischen
Sicherheitslücken adressiert.

BETROFFENE SYSTEME
– Android One
– Google Nexus
– Google Pixel
– BlackBerry powered by Android
– BlackBerry powered by Android vor Patch Level March 5, 2017
– Google Android Operating System
– Google Android Operating System vor 4.4.4 2017-03-05
– Google Android Operating System vor 5.0.2 2017-03-05
– Google Android Operating System vor 5.1.1 2017-03-05
– Google Android Operating System vor 6.0 2017-03-05
– Google Android Operating System vor 6.0.1 2017-03-05
– Google Android Operating System vor 7.0 2017-03-05
– Google Android Operating System vor 7.1.1 2017-03-05
– LG Mobile Android vor SMR-MAR-2017
– Samsung Mobile Android vor SMR-MAR-2107

EMPFEHLUNG
Aktualisieren Sie Google Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0
oder 7.1.1 auf die Version 2017-03-05 oder 2017-03-01 über die
automatische Update-Funktion innerhalb des Produktes, sobald diese
Version für Ihr Gerät verfügbar ist.

Samsung stellt ebenfalls Sicherheitsupdates für einige nicht näher
spezifizierte Geräte für Google Android bereit und behebt gleichzeitig
mehrere Sicherheitslücken, die nur Geräte aus der eigenen Produktion
betreffen. Google hat weitere Hersteller über die Schwachstellen
informiert. Informationen zur Verfügbarkeit der Sicherheitsupdates
erhalten Sie vom jeweiligen Hersteller.

BESCHREIBUNG
BlackBerry powered by Android ist die von BlackBerry Ltd. überarbeitete
Version von Google Android zum Einsatz auf BlackBerry Smartphones.

Android ist ein Betriebssystem und eine Software-Plattform für mobile
Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie
wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der
Google-Konzern ist.

LG Mobile produziert Mobiltelefone mit einem angepassten Google Android
Betriebssystem.

Samsung Mobile produziert Mobiltelefone mit einem angepassten Google
Android Betriebssystem.

Google schließt mit den aktuellen Sicherheitsupdates für Android mehrere
Sicherheitslücken, die es einem entfernten und nicht angemeldeten
Angreifer ermöglichen, Informationen auszuspähen, zusätzliche
Berechtigungen zu erlangen, die Verfügbarkeit bestimmter Dienste und des
gesamten Geräts zu beeinträchtigen sowie beliebige Befehle und Programme
auszuführen und damit dauerhaft die Kontrolle über Ihr Gerät zu
übernehmen oder die Neuinstallation des Betriebssystems zu erzwingen.

Ein Teil der Sicherheitslücken wird auch für Smartphones von Samsung, die
Google Android verwenden, behoben.

QUELLEN
– LG Mobile Sicherheitshinweis für Android SMR-MAR-2017 (Englisch)

– Android Sicherheitshinweis März 2017 (Englisch)

– Samsung Mobile Sicherheitshinweis für Android SMR-MAR-2017 (Englisch)

– BlackBerry powered by Android Security Bulletin – March 2017
(Englisch)

UPDATE
08.03.2017
BlackBerry und LG stellen jetzt ebenfalls Android-Sicherheitsupdates zur
Verfügung. Für Details beachten Sie bitte die Aktualisierung vom 08. März
2017.

———————————————————————–
Diese Technische Warnung ist ein kostenloses Service-Angebot des
Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht
übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: =

Technische Warnung des Bürger-CERT
———————————-

TECHNISCHE WARNUNG TW-T17/0023
Titel: Sicherheitsupdates für Android
Datum: 08.03.2017
Risiko: sehr hoch

ZUSAMMENFASSUNG
Google schließt für Smartphones und ähnliche Geräte mit Google Android
mehr als 100 Sicherheitslücken, von denen etwa ein Drittel vom Hersteller
als kritisch eingestuft werden. Bisher wurden Informationen zu
Sicherheitsupdates für Google Nexus-Geräte, Google Android One, Google
Pixel und verschiedene Smartphones von Samsung veröffentlicht.

BETROFFENE SYSTEME
– Android One
– Google Nexus
– Google Pixel
– Google Android Operating System
– Google Android Operating System vor 4.4.4 2017-03-05
– Google Android Operating System vor 5.0.2 2017-03-05
– Google Android Operating System vor 5.1.1 2017-03-05
– Google Android Operating System vor 6.0 2017-03-05
– Google Android Operating System vor 6.0.1 2017-03-05
– Google Android Operating System vor 7.0 2017-03-05
– Google Android Operating System vor 7.1.1 2017-03-05
– Samsung Mobile Android vor SMR-MAR-2107

EMPFEHLUNG
Aktualisieren Sie Google Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0
oder 7.1.1 auf die Version 2017-03-05 oder 2017-03-01 über die
automatische Update-Funktion innerhalb des Produktes, sobald diese
Version für Ihr Gerät verfügbar ist.

Samsung stellt ebenfalls Sicherheitsupdates für einige nicht näher
spezifizierte Geräte für Google Android bereit und behebt gleichzeitig
mehrere Sicherheitslücken, die nur Geräte aus der eigenen Produktion
betreffen. Google hat weitere Hersteller über die Schwachstellen
informiert. Informationen zur Verfügbarkeit der Sicherheitsupdates
erhalten Sie vom jeweiligen Hersteller.

BESCHREIBUNG
Android ist ein Betriebssystem und eine Software-Plattform für mobile
Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie
wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der
Google-Konzern ist.

Samsung Mobile produziert Mobiltelefone mit einem angepassten Google
Android Betriebssystem.

Google schließt mit den aktuellen Sicherheitsupdates für Android mehrere
Sicherheitslücken, die es einem entfernten und nicht angemeldeten
Angreifer ermöglichen, Informationen auszuspähen, zusätzliche
Berechtigungen zu erlangen, die Verfügbarkeit bestimmter Dienste und des
gesamten Geräts zu beeinträchtigen sowie beliebige Befehle und Programme
auszuführen und damit dauerhaft die Kontrolle über Ihr Gerät zu
übernehmen oder die Neuinstallation des Betriebssystems zu erzwingen.

Ein Teil der Sicherheitslücken wird auch für Smartphones von Samsung, die
Google Android verwenden, behoben.

QUELLEN
– Android Sicherheitshinweis März 2017 (Englisch)

– Samsung Mobile Sicherheitshinweis für Android SMR-MAR-2017 (Englisch)

———————————————————————–
Diese Technische Warnung ist ein kostenloses Service-Angebot des
Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht
übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: =

Technische Warnung des Bürger-CERT
———————————-

TECHNISCHE WARNUNG TW-T17/0009
Titel: Sicherheitsupdate für Adobe Acrobat-Erweiterung für den Chrome
Browser
Datum: 20.01.2017
Risiko: hoch

ZUSAMMENFASSUNG
Adobe schließt eine Sicherheitslücke in einer Erweiterung für den Browser
Chrome, die mit dem letzten Sicherheitsupdate von Adobe Acrobat und Adobe
Acrobat Reader auf Windows für viele Benutzer automatisch installiert
wurde.

BETROFFENE SYSTEME
– Adobe Acrobat Extension for Chrome vor 15.1.0.4
– Microsoft Windows

EMPFEHLUNG
Aktualisieren Sie die Erweiterung über das Google Chrome Update, über den
Google Chrome Web Store oder manuell auf die neueste Version 15.1.0.4.
Adobe hat für die manuelle Installation eine Anleitung veröffentlicht.

BESCHREIBUNG
Die Browsererweiterung Adobe Acrobat für den Chrome-Browser ermöglicht
die Konvertierung der aktuellen Webseite in eine PDF-Datei über Adobe
Acrobat und das Öffnen von PDF-Dateien in Adobe Acrobat Reader über einen
Knopfdruck in der Menüleiste des Browsers.

Adobe schließt eine Sicherheitslücke in einer Erweiterung für den Browser
Chrome, mit der sich PDF-Dateien auf Knopfdruck öffnen und Webseiten in
PDF-Dokumente umwandeln lassen. Diese Browser-Erweiterung wurde für viele
Benutzer mit dem letzten Sicherheitsupdate von Adobe Acrobat und Adobe
Acrobat Reader automatisch installiert.

QUELLEN
– Adobe Sicherheitshinweis APSB17-03 (Englisch)

———————————————————————–
Diese Technische Warnung ist ein kostenloses Service-Angebot des
Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht
übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: =

Technische Warnung des Bürger-CERT
———————————-

TECHNISCHE WARNUNG TW-T16/0141
Titel: Produktwarnung für Netgear Router R6400, R7000 und R8000
Datum: 12.12.2016
Risiko: sehr hoch

ZUSAMMENFASSUNG
In verschiedenen WLAN-Routern der Firma Netgear existiert eine kritische
Sicherheitslücke.

BETROFFENE SYSTEME
– Netgear Router R6400
– Netgear Router R6400 1.0.1.12_1.0.11
– Netgear Nighthawk Router R7000
– Netgear Nighthawk Router R7000 1.0.7.2_1.1.93
– Netgear Nighthawk X6 Router R8000
– Netgear Nighthawk X6 Router R8000 1.0.3.4_1.1.2

EMPFEHLUNG
Der Hersteller hat die Möglichkeit einer Sicherheitslücke bestätigt,
stellt aber noch keine Sicherheitsupdates zur Verfügung. Die internen
Untersuchungen sind zum Zeitpunkt der Veröffentlichung noch nicht
abgeschlossen. Da die Sicherheitslücke sehr einfach auszunutzen ist,
sollten Sie betroffene Geräte nicht verwenden, bis das Sicherheitsupdate
zur Verfügung steht.

BESCHREIBUNG
Der Netgear 1750 Smart-WLAN-Router (Modell R6400) ist ein Gigabit
WLAN-Router für den Privatbereich.

Der Netgear AC1900 Nighthawk Smart WLAN Router (Modell R7000) ist ein
Gigabit WLAN-Router für den Privatbereich.

Der Nighthawk X6 AC3200 Tri-Band WiFi Gigabit Router (Modell R8000) ist
ein Tri-Band Gigabit WLAN-Router für den Privatbereich.

In Netgear-Routern mit den Modellnummern R6400, R7000 und R8000 und
möglicherweise weiteren existiert eine kritische Sicherheitslücke, die
einem Angreifer aus dem Internet die vollständige Kontrolle über das
betroffene Gerät ermöglicht.

QUELLEN
– Sicherheitshinweis von Netgear (Englisch)

———————————————————————–
Diese Technische Warnung ist ein kostenloses Service-Angebot des
Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht
übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: =

Technische Warnung des Bürger-CERT
———————————-

TECHNISCHE WARNUNG TW-T16/0139 UPDATE 1
Titel: Sicherheitsupdates für Android
Datum: 12.12.2016
Risiko: sehr hoch

ZUSAMMENFASSUNG
Google schließt für Smartphones und ähnliche Geräte mit Google Android
insgesamt 74 Sicherheitslücken, von denen elf vom Hersteller als kritisch
eingestuft werden. Bisher wurden Informationen zu Sicherheitsupdates für
Google Nexus-Geräte, Google Android One, Google Pixel, verschiedene
Smartphones von LG Mobile sowie für Smartphones mit dem Betriebssystem
‘BlackBerry powered by Android’ veröffentlicht. Die Informationen zu
Sicherheitsupdates von Samsung Mobile stehen noch aus.

Aktualisierung vom 12.12.2016: Samsung Mobile veröffentlicht nun
ebenfalls ein Sicherheitsupdate für die eigenen Mobilfunkgeräte, mit dem
einige der von Google Anfang Dezember und in früheren Monaten
veröffentlichten Sicherheitslücken sowie mehrere weitere
Geräte-spezifische Sicherheitslücken behoben werden.

BETROFFENE SYSTEME
– Android One
– Google Nexus
– Google Pixel
– Google Pixel C
– BlackBerry powered by Android vor Patch Level December 5, 2016
– Google Android Operating System
– Google Android Operating System vor 4.4.4 2016-12-05
– Google Android Operating System vor 5.0.2 2016-12-05
– Google Android Operating System vor 5.1.1 2016-12-05
– Google Android Operating System vor 6.0 2016-12-05
– Google Android Operating System vor 6.0.1 2016-12-05
– Google Android Operating System vor 7.0 2016-12-05
– LG Mobile Android vor SMR-DEC-2016
– Samsung Mobile Android vor SMR-DEC-2016

EMPFEHLUNG
Aktualisieren Sie Google Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 oder 7.0
auf die Version 2016-12-05 über die automatische Update-Funktion
innerhalb des Produktes, sobald diese Version für Ihr Gerät verfügbar
ist.

Für Smartphones mit dem Betriebssystem ‘BlackBerry powered by Android’
ist das Update durch die Bezeichnung ‘Android Security Patch Level
December 5, 2016’ in den Telefoneinstellungen identifizierbar. BlackBerry
empfiehlt ein Update auf die neueste verfügbare Version des
Betriebssystems. LG stellt ebenfalls ein Sicherheitsupdate für Google
Android bereit und behebt gleichzeitig eine Sicherheitslücke, die nur
Geräte von LG betrifft. Google hat weitere Hersteller über die
Schwachstellen informiert. Informationen zur Verfügbarkeit der
Sicherheitsupdates erhalten Sie vom jeweiligen Hersteller.

BESCHREIBUNG
BlackBerry powered by Android ist die von BlackBerry Ltd. überarbeitete
Version von Google Android zum Einsatz auf BlackBerry Smartphones.

Android ist ein Betriebssystem und eine Software-Plattform für mobile
Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie
wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der
Google-Konzern ist.

LG Mobile produziert Mobiltelefone mit einem angepassten Google Android
Betriebssystem.

Samsung Mobile produziert Mobiltelefone mit einem angepassten Google
Android Betriebssystem.

Google schließt mit den aktuellen Sicherheitsupdates für Android mehrere
Sicherheitslücken, die es einem entfernten und nicht angemeldeten
Angreifer ermöglichen, Informationen auszuspähen, zusätzliche
Berechtigungen zu erlangen, die Verfügbarkeit bestimmter Dienste und des
gesamten Geräts zu beeinträchtigen sowie beliebige Befehle und Programme
auszuführen und damit dauerhaft die Kontrolle über Ihr Gerät zu
übernehmen oder die Neuinstallation des Betriebssystems zu erzwingen.

Ein Teil der Sicherheitslücken wird auch für Smartphones mit dem
Betriebssystem ‘BlackBerry powered by Android’ sowie für Endgeräte von
LG, die Google Android verwenden, behoben.

QUELLEN
– LG Mobile Sicherheitshinweis für Android SMR-DEC-2016 (Englisch)
<https://lgsecurity.lge.com/security_updates.html>
– Samsung Mobile Sicherheitshinweis für Android SMR-DEC-2016 (Englisch)
<http://security.samsungmobile.com/smrupdate.html#SMR-DEC-2016>
– Android Sicherheitshinweis – Dezember 2016 (Englisch)
<https://source.android.com/security/bulletin/2016-12-01.html>
– BlackBerry powered by Android Sicherheitshinweis – Dezember 2016
(Englisch)
<http://support.blackberry.com/kb/articleDetail?articleNumber=000038813>

UPDATE
12.12.2016
Samsung Mobile veröffentlicht nun ebenfalls ein Sicherheitsupdate für die
eigenen Mobilfunkgeräte, mit dem einige der von Google Anfang Dezember
und in früheren Monaten veröffentlichten Sicherheitslücken sowie mehrere
weitere Geräte-spezifische Sicherheitslücken behoben werden.

Technische Warnung des Bürger-CERT
09.12.2016

———————————-

TECHNISCHE WARNUNG TW-T16/0140

Titel: Produktwarnung für Joomla!

 Datum: 09.12.2016
Risiko: sehr hoch

ZUSAMMENFASSUNG

Im Joomla! Content Management System existiert eine Sicherheitslücke.

 

BETROFFENE SYSTEME

  • Joomla! ab 3.4.4
  • Joomla! bis einschließlich 3.6.4

 

EMPFEHLUNG

Der Hersteller hat noch kein Sicherheitsupdate zur Behebung der Sicherheitslücke zur Verfügung gestellt und auch keinen Workaround veröffentlicht. Dennoch sollten Sie Joomla! über die referenzierte Download-Seite wenigstens auf Version 3.6.4 aktualisieren, um sich zumindest gegen nicht angemeldete Angreifer zu schützen. Prüfen Sie in zudem alle existierenden Administratorkonten auf Gültigkeit, um die Auswirkungen eines möglicherweise bereits erfolgten Angriffs zu minimieren.

 

BESCHREIBUNG

Joomla! ist ein Content Management System, mit dem Webauftritte und Internet-Anwendungen erstellt werden können. Es ist einfach zu benutzen und zu erweitern. Die Software steht unter einer Open Source Lizenz und ist frei verfügbar.

In den Joomla! Versionen 3.4.4 bis einschließlich 3.6.4 wurde eine Sicherheitslücke entdeckt, die es einem Angreifer aus dem Internet ermöglicht, beliebigen Programmcode auszuführen und dadurch erheblichen Schaden auf einem betroffenen Joomla!-System anzurichten. Um die Sicherheitslücke auszunutzen, muss der Angreifer sich entweder regulär an dem Joomla!-System anmelden können, möglicherweise sogar mit Administratorrechten, oder die in der aktuellen Version 3.6.4 behobenen Sicherheitslücken ausnutzen können, mit denen er die Registrierung     umgehen und als angemeldeter Benutzer erhöhte Rechte erlangen kann.

 

QUELLEN

———————————————————————–

Diese Technische Warnung ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: =