TW-T16/0140 – Produktwarnung für Joomla!

Print Friendly, PDF & Email

Technische Warnung des Bürger-CERT
09.12.2016

———————————-

TECHNISCHE WARNUNG TW-T16/0140

Titel: Produktwarnung für Joomla!

Datum: 09.12.2016
Risiko: sehr hoch

ZUSAMMENFASSUNG

Im Joomla! Content Management System existiert eine Sicherheitslücke.

BETROFFENE SYSTEME

Joomla! ab 3.4.4
Joomla! bis einschließlich 3.6.4

EMPFEHLUNG

Der Hersteller hat noch kein Sicherheitsupdate zur Behebung der Sicherheitslücke zur Verfügung gestellt und auch keinen Workaround veröffentlicht. Dennoch sollten Sie Joomla! über die referenzierte Download-Seite wenigstens auf Version 3.6.4 aktualisieren, um sich zumindest gegen nicht angemeldete Angreifer zu schützen. Prüfen Sie in zudem alle existierenden Administratorkonten auf Gültigkeit, um die Auswirkungen eines möglicherweise bereits erfolgten Angriffs zu minimieren.

BESCHREIBUNG

Joomla! ist ein Content Management System, mit dem Webauftritte und Internet-Anwendungen erstellt werden können. Es ist einfach zu benutzen und zu erweitern. Die Software steht unter einer Open Source Lizenz und ist frei verfügbar.

In den Joomla! Versionen 3.4.4 bis einschließlich 3.6.4 wurde eine Sicherheitslücke entdeckt, die es einem Angreifer aus dem Internet ermöglicht, beliebigen Programmcode auszuführen und dadurch erheblichen Schaden auf einem betroffenen Joomla!-System anzurichten. Um die Sicherheitslücke auszunutzen, muss der Angreifer sich entweder regulär an dem Joomla!-System anmelden können, möglicherweise sogar mit Administratorrechten, oder die in der aktuellen Version 3.6.4 behobenen Sicherheitslücken ausnutzen können, mit denen er die Registrierung umgehen und als angemeldeter Benutzer erhöhte Rechte erlangen kann.

QUELLEN

Joomla! Download-Seite (Englisch)

———————————————————————–

Diese Technische Warnung ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: =

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.