Joomla-Patch: Kritische SQL-Injection-Lücke geschlossen

In aktuellen Versionen des Content Management Systems Joomla klafft eine Lücke, über die Angreifer die Webseite in ihre Kontrolle bringen können. Die Entwickler empfehlen Admins, das Update so schnell wie möglich einzuspielen.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Joomla-Patch schließt kritische Lücke im Content Management System
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Die Joomla-Entwickler haben ein dringendes Update für ihr quelloffenes Content Management System veröffentlicht. Mit Joomla 3.4.5 stopfen sie drei Lücken, darunter eine kritische SQL-Injection-Lücke, die es Angreifern allem Anschein nach erlaubt, Joomla-Installationen zu kapern. Betroffen sind die Joomla-Versionen 3.2 bis einschließlich 3.4.4 – ältere Versionen sind nicht anfällig. Die Entwickler empfehlen allen Admins, das entsprechende Update so schnell wie möglich einzuspielen.

Die SQL-Injection-Lücke wird unter den CVE-Nummern CVE-2015-7297, CVE-2015-7857 und CVE-2015-7858 geführt. Sie wurde am 15. Oktober vertraulich an die Entwickler gemeldet und wird nun, genau eine Woche später, geschlossen. Zwei weitere Lücken, die ebenfalls mit dem Update gestopft werden, erlauben Joomla-Nutzern ohne die entsprechenden Berechtigungen den Zugriff auf versteckte Inhalte. Dabei handelt es sich um Bugs bei der Überprüfung von Zugangskontroll-Listen (ACLs). (fab)