[Warning] Kritische Sicherheitslücke in Joomla Core (Updates verfügbar)
Robert Waldner
waldner at cert.at
Mon Dec 14 20:38:15 CET 2015
14. Dezember 2015
Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl
an installierten Joomla Content Management Systemen bittet CERT.at um
Beachtung der folgenden Hinweise.
Beschreibung
Wie heute bekannt wurde, gibt es eine Sicherheitslücke im Input
Handling von Joomla Core. Ein Patch für dieses Problem wurde bereits
veröffentlicht.
Auswirkungen
Angreifer können durch diese Lücke, indem sie einen speziell
präparierten HTTP-Request senden, beliebigen Code im Kontext der
Joomla-Installation ausführen. Dies kann unter Umständen zur
vollständigen Kompromitierung der Joomla-Instanz führen.
Da laut Sucuri die Lücke bereits vor Veröffentlichung der
Schwachstelle aktiv ausgenutzt wurde, ist davon auszugehen, dass
diese bald verstärkt Anwendung finden wird.
Betroffene Systeme
Alle Joomla-Installationen von Version 1.5.0 bis inkl. Version 3.4.5.
Weitere Details sind in einer Meldung von Sucuri bzw. dem
Advisory von Joomla verfügbar (Links siehe unten).
Abhilfe
* Upgrade auf Version 3.4.6, Download zB via joomla.org oder
über die eingebaute Update-Funktionalität ("Control Panel ->
Maintenance").
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Blogeintrag von Sucuri (englisch)
https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html
[20151214] - Core - Remote Code Execution Vulnerability
https://developer.joomla.org/security-centre/630-20151214-core-remote-code-execution-vulnerability.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 811 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20151214/c77598b2/attachment.sig>
More information about the Warning
mailing list