Menu Content/Inhalt
Startseite

Anmelden
Passwort vergessen?
Sicherheitslücke in Joomla 1.0.13
Freitag, 11. Januar 2008
Wie auf securityfocus vor kurzem berichtet wurde, gibt es eine Cross Site Scripting Sicherheitslücke. Um genau zu sein eine "Cross Site Request Forgery" Schwachstelle (kurz CSRF). Betroffen ist aber nur die aktuelle Stable 1.0.13, in der Version wurde die Lücke bereits in RC4 geschlossen. Zugegeben, etwas verschlafen muss man als Webmaster ja schon sein. Die Lücke kann nämlich nur ausgenutzt werden, wenn man:
  • noch als Superadmin angemeldet ist (die Session noch nicht abgelaufen ist, das Backend muss nicht geöffnet sein)
  • sich gleichzeitig auf dubiosen Webseiten rumtreibt, die die Lücke ausnutzen wollen
  • JavaScript im Browser aktiviert haben, denn JavaScript braucht man für die Lücke auch

Okay, kann passieren - sollte aber nicht.

Quelle: securityfocus

 

Nachtrag: Vorbildlich, es wird bereits an einer Fehlerbehebung gearbeitet. Es wurde heute das Update auf Version 1.0.14 RC1 veröffentlicht. Zu beachten ist, dass diese Version möglicherweise noch nicht Fehlerfrei arbeitet. In anbetracht der Bugreports empfiehlt es sich wohl, noch etwas zu warten.

 

 
Letzte Aktualisierung ( Montag, 14. Januar 2008 )