Joomla neue Version schließt Sicherheitslücken

Joomla 3.7.0 - SicherheitslückenAm 25.04.2017 wurde eine neue Version Joomla 3.7.0 veröffentlicht, die eine Masse an Sicherheitslücken aus allen Vorversionen von Joomla  3.6 (einschließlich) schließt!

Kunden, die Joomla einsetzen, haben jedoch diesmal mehr zu tun, als nur Ihren Webspace upzudaten, denn … 

Sicherheitsupdate  für Joomla einspielen:

Sie sollten unbedingt dieses Sicherheitsupdate einspielen! Jetzt  sind alle Sicherheitslücken der Vorversionen von Joomla öffentlich bekannt gegeben! Hacker nutzen diese Lücken gegen die Website-Besitzer  aus, die nicht  ihre  Scripte auf die neue Version upgedatet haben!  Wir stellen bereits jetzt vermehrte Angriffe gegen solche Webseiten fest!

Joomla 3.7.0 auf erfolgte  Sicherheit prüfen:

Nach erfolgter Einspielung der neuen Version prüfen Sie bitte auch Ihre Benutzer-Tabelle! In den meisten Webseiten werden Sie feststellen, daß eine Menge von neuen Benutzern, wie auch das obige Bild zeigt, sich in Joomla eingetragen haben, selbst wenn Sie die Funktion für eine Neueintragung bereits gesperrt hatten!

Sie sollten die Suche der Benutzer nun  einschränken auf Benutzer, die noch nicht frei gegeben sind. Prüfen Sie diese User, ob diese gelöscht werden können, klicken Sie oben auf  das Select-Feld für die Markierung aller dieser User und löschen Sie diese dann. Ggf. sind mehrere Seiten gefüllt mit illegalen User-Anmeldungen!  Prüfen Sie anschließend auch alle User, die ggf. schon frei gegeben wurden, ob diese Zugangsberechtigung haben dürfen und löschen Sie diese!

Prüfen Sie anschließend, ob von diesen Usern neue Webseiten etc. angelegt wurden und löschen Sie diese!  Prüfen Sie auch die Kategorien, sofern angelegt, Menüs etc. ob hier ungewollte und gefährliche Menü-Verlinkungen eingerichtet wurden!

Joomla ein sehr gefährliches CMS-System:

Die eingesetzte Sicherheitstechnik von 1awww hat die meisten gefährlichen Aktionen abgefiltert! Die verwendeten Filter können aber nicht jede Aktion als gefährlich einstufen und blockieren, weil Sicherheitsfilter sind immer ein Kompromiss zwischen absichern und notwendige Arbeit nicht behindern!  Vielmehr muß jedem  Webmaster von Joomla  klar sein, daß Joomla ein hochgefährliches CMS-System ist, daß sehr viel Wartungsaufwand benötigt! Auch bekannt ist, daß Joomla mit jeder neuen Version wieder neue gefährliche Bugs mit liefert!

Seit Jahren stören diese nervigen Never-Ending-Update-Stories, zumal Vorversionen (mit Hauptnummern) recht schnell nicht mehr bei Sicherheitsfragen gepflegt werden!  Webmaster sind daher leider gezwungen, diesen Update-Wahn mit zu machen oder ansonsten besteht die große Gefahr eines Einbruchs! Daher können wir  den Einsatz von Joomla für neue Websites, grundsätzlich nicht mehr empfehlen!

Den ersten Bug, den wir schon in der neuen  Joomla-Version 3.7.0 gefunden haben, daß der Editor (TinyMCE) unter bestimmten Voraussetzungen die Links beim Editieren zerschießt! Wahrscheinlich hat hier Joomla wieder etwas unqualifiziert geändert, was intern mit dem Standard-Editor nicht passt!  Also bleibt nur zu vermuten, daß der Update-Wahn in den nächsten Tagen von vorne beginnt!

Hier die  Sicherheitslücken, die lt. Joomla-Website gefixt wurden:

  • Low Priority – Core – Information Disclosure (affecting Version  1.5.0 through 3.6.5)
  • Low Priority – Core – XSS Vulnerability (affecting Version  3.2.0 through 3.6.5)
  • Low Priority – Core – XSS Vulnerability (affecting Version  1.5.0 through 3.6.5)
  • Low Priority – Core – XSS Vulnerability (affecting Version  1.5.0 through 3.6.5)
  • Low Priority – Core – XSS Vulnerability (affecting Version  3.2.0 through 3.6.5)
  • Low Priority – Core – ACL Violations (affecting Version  1.6.0 through 3.6.5)
  • Low Priority – Core – ACL Violations (affecting Version  3.2.0 through 3.6.5)
  • Low Priority – Core – Information Disclosure (affecting Version  3.4.0 through 3.6.5)

Viel krasser sieht es jedoch im offiziellen CVE-Listing aus, hier werden nicht nur angeblich harmlose Sicherheits-Probleme aufgeführt, die mit Joomla 3.7.0 gefixt wurden:

  • 2 days ago CVE-2017-7983 : In Joomla! 1.5.0 through 3.6.5 (fixed in 3.7.0), mail sent using the JMail API leaked the used PHPMailer version in the mail …
  • 2 days ago In Version  3.2.0 through 3.6.5 (fixed in 3.7.0), inadequate MIME type checks allowed low-privilege users to upload swf files even if they were …
  • 2 days ago … CVE-2017-7988 : In Version 1.6.0 through 3.6.5 (fixed in 3.7.0), inadequate filtering of form contents allows overwriting the author of an article.
  • In Version  3.2.0 through 3.6.5 (fixed in 3.7.0), inadequate escaping of file and folder names leads to XSS vulnerabilities in the template manager component.

und die Liste ist natürlich noch länger!

Updates müssen grundsätzlich durchgeführt werden:

Daher bitten wir um Verständnis, daß wir Kunden auffordern müssen, die Updates von  insbesondere Joomla und WordPress immer aktuell und unverzüglich ein zu spielen! Wer keine Zeit dafür hat, kann auch einen Joomla-Wartungsvertrag abschließen und dann kümmern wir uns aktuell um die jeweiligen Updates!

Wer nicht updatet, setzt sich und uns dem  Risiko aus, daß Hacker in den Webspace eindringen und einen hohen Schaden verursachen können! Als Webmaster, der ja auch das CMS-System  eingespielt hat und diverse Plugins installiert hat, sind Sie voll  schadensersatzpflichtig! Schäden können verursacht z.B. indem Hacker Ihren Webspace für Spam, Verbreitung von illegalem Material  (ob Kinderpornografie, terroristischem Material, Raubkopien etc) verwenden!

In Kürze (max. 2 Tagen), bieten wir Ihnen eine bessere Lösung, als CMS-Systeme an, damit Sie in Zukunft bessere Webseiten erstellen können, für die Sie nie wieder Updates durchführen müssen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert