Archiv der Kategorie: Programmierung

Joomla dringend updaten auf 3.8.13

Joomla 3.8.12 Sicherheitslücken VulnerabilitiesDas Sicherheitsteam von Joomla hat ein neues Update heraus gegeben, daß gleich 5 Vulnerabilities schließen soll!

Bis zur Version Joomla 3.8.12 können Hacker z.B. Schadcode ausführen über den internen Update-Bereich! Auch können sich Hacker problemlos bis Joomla 3.8.12 registrieren und die Freischaltung erwirken! Was für ein Wahnsinn, daß Joomla nach wie vor eines der unsichersten CMS-Systeme ist! Die nachfolgenden CVEs wurden dann auch noch als Low eingestuft, aber nur wenige Stunden nach Veröffentlichung, konnten wir auf einem Kunden-Webspace mit Joomla 3.8.12 ganz massive Attacken feststellen, die sogar zu einer CPU-Dauer-Belastung geführt haben!

Wer keinen Wartungsvertrag hat, sollte dringend Joomla auf den neuesten Stand updaten! Bitte denken Sie auch daran, Plugins und Themes etc. mit abzudaten!

Wer sich von Joomla trennen möchte, den empfehlen wir den
Prima-Website-Builder

Wir stellen bereits diverse Projekte auf den PWB um, da dieser uns einwandfreie Seiten erzeugt, die nicht mehr gehackt werden können und wo wir auch keine ständigen Updates durchführen müssen! Selbst große Datenbank-Projekte, wie Europaladies.com können umgestellt werden! Bei Fragen, setzen Sie sich bitte mit uns in Verbindung!

Hier die CVE-Nummern und eine Kurzinfo zu den Vulnerabilities:

CVE-2018-17859 Inadequate checks in com_contact could allowed mail submission in disabled forms

CVE-2018-17856 Joomla’s com_joomlaupdate allows the execution of arbitrary code. The default ACL config enabled access of Administrator-level users to access com_joomlaupdate and trigger a code execution.

CVE-2018-17857 Inadequate checks on the tags search fields can lead to an access level violation.

CVE-2018-17855 In case that an attacker gets access to the mail account of an user who can approve admin verifications in the registration process he can activate himself.

CVE-2018-17858 Added additional CSRF hardening in com_installer actions in the backend.

Hosts sind abgesichert gegen die neuen CPU-Bugs

Intel CPU-BugsServer und Webspaces bei 1awww sind gegen die CPU-Bugs (Meltdown und Spectre) abgesichert! Für die Virtualisierungssoftware Proxmox 4./5.x wurden gestern die Patches veröffentlicht und von uns gestern Abend um ca. 23:30 Uhr in alle Hosts eingespielt! Auch wurden diverse Server unserer Infrastruktur abgesichert! Der Modus KPTI (Page Table Isolation) wurde dabei zusätzlich auf “enabled” gesetzt!

Was jeder Anwender wissen sollte!

Wir geben im Anschluss Empfehlungen, die je nach Gruppe von jedem Anwender unbedingt beachtet werden sollten, um böse Überraschungen zu vermeiden! Hosts sind abgesichert gegen die neuen CPU-Bugs weiterlesen

Joomla 3.8.2 – unbedingt updaten – Sicherheitslücken

Joomla 3.8.2 SicherheitslückenWenn Updates vom Joomla – Team für Joomla heraus gegeben werden, so handeln sich diese meistens um die Beseitigung von Sicherheitslücken (sogenannte Vulnerabilities), die es Hackern ermöglichen, in den Webspace einzudringen und diesen für illegale Zwecke zu missbrauchen!

Natürlich werden dann auch die bis dahin mit heißer Nadel Joomla 3.8.2 – unbedingt updaten – Sicherheitslücken weiterlesen

Update auf Joomla 3.8.0 unbedingt durchführen

Joomla 3.8.0 Update durchführenWir haben bereits am 20.09.2017 einen Artikel geschrieben, weil Joomla am 19.09.2017 einen neuen Update auf die Version Joomla 3.8.0 heraus gegeben hat! Erst nach Bekanntgabe des neuen Updates wurde mit einer Verzögerung bekannt gegeben, daß alle Vorversion und zwar ab Version 1.x bis 3.7.5 einschließlich über eine LDAP-Sicherheitslücke verfügen, über die Hacker in Joomla einbrechen können! Auch im CVE wurde der Vulnerability erst am 20.09.2019, nachdem wir unseren Blog-Artikel verfasst haben, bekannt gegeben!

Obwohl der Update-Prozess unter Umständen Ihre Joomla-Installation komplett zerschießen kann, müssen Sie aber nun zwangsläufig unbedingt die Updates installieren!

Sie sollten vorher unbedingt ein Backup über Plesk durchführen, bevor Sie den Update-Prozess starten! Wir haben verschiedene Lösungsmöglichkeiten gefunden, die Updates für alle Kunden durch zu führen, die laufende Wartungsaufträge haben. Lediglich bei einem Webspace kann der Update auch mit Reparaturen nicht durchgeführt werden, weil hier noch Plugins aus dem Jahre 2013 laufen. Evtl. müssen hier harte manuelle Anpassungen erfolgen, um die alten Plugins ggf. umzustellen, da es offensichtlich für diese keine Updates mehr gibt!

Wie schon geschrieben, ist Joomla ein extrem gefährliches Produkt, bei dem seit ewigen Jahren ständige Sicherheitslücken gefunden werden! Wir können Kunden, die sich eine neue Website programmieren wollen oder programmieren lassen wollen, Joomla NICHT mehr empfehlen! Wir können ersatzweise den Prima-Website-Builder empfehlen!

WORKARROUND für Fatal error: Cannot redeclare class JFormField in plugins/system/jat3/jat3/core/joomla/form/field.php on line 20

Folgender Fehler tritt bei vielen Programmierern / Kunden nach einem Update / Upgrade auf, die Fabrik unter Joomla mit JAT3 – Purity II oder Purity III – Templates verwenden:

Fatal error: Cannot redeclare class JFormField in plugins/system/jat3/jat3/core/joomla/form/field.php on line 20

Im Fabrikar – Forum (und über Google) sind dazu leider viele Problem-Meldungen von Usern zu finden, WORKARROUND für Fatal error: Cannot redeclare class JFormField in plugins/system/jat3/jat3/core/joomla/form/field.php on line 20 weiterlesen