Tag-Archive for » Joomla «

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen.

Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad „Hoch“ bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen.

Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese Lücke auch für ihre Zwecke missbrauchen.

CMS Joomla: Update auf Version 3.7

Über 1300 Änderungen und 700 neue Funktionen bringt das Joomla-Projekt in der gerade veröffentlichten Version 3.7 seines gleichnamigen Content-Management-Systems (CMS) als Open Source Software. Viele dieser Änderungen sind nur marginal, andere wiederum aber auch elementarer.

Deutlich mehr eigene Gestaltungsmöglichkeiten und Flexibilität sollen beispielsweise die eigenen Feldern (Custom Fields) bringen. Dazu stehen jetzt 15 unterschiedliche Feldtypen bereit, die der Administrator bereitstellen und die die Nutzer bei der Erstellung von Inhalten ausfüllen können.

Die „Custom Fields“ gestatten eine einheitliche Gestaltung des Layouts, auch wenn mehrere Redakteure die Inhalte zusammen erstellen. Die Felder lassen sich zu Feldgruppen zusammenfassen, die wiederum verschiedenen Kategorien oder Zugriffsebenen zugewiesen werden können.

Bei der Mehrsprachigkeit gibt es auch Verbesserungen. So können mit der neu eingeführten Komponente „Multilingual Associations“ Inhalte jetzt in einem Interface übersetzt werden. Auch die Anlage von neuen Artikeln wurde verbessert, so dass die Redakteure jetzt einen Menüpunkte, Artikel und Kategorien in einem Schritt erstellen können.

Veraltete WordPress-Plugins locken Hacker an

WordpressHacksDie Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen.

Mehr als 1 Milliarde Internetseiten auf CMS-Basis

Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento.

Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist.

Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb.

Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster.

Die Infektionsursachen

Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten

Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu den anderen Plattformen noch ein guter Wert, denn Joomla war zu 84 Prozent veraltet, Drupal zu 81 Prozent und Magento sogar zu 96 Prozent!

Ursachen für die mangelhaften Updatestände sind stark angepasste Installationen, Probleme mit der Rückwärtskompatibilität und last not least fehlende Mitarbeiter mit der notwendigen Kompetenz…

Auf 66 Prozent aller kompromittierten Installationen fand Sucuri eine PHP-basierte Backdoor. Durch diese Hintertüren konnten sich Angreifer über einen längeren Zeitraum nach der Infektion den Zugang sichern.

Diese Backdoors können auch die hohe Quote erneuter Infektionen, die nach Googles Webmaster-Tool bei satten 30 Prozent liegt, verständlich machen.

Open Source-CMS Joomla veröffentlicht Version 3.4

Eine neue Version seines Open-Source-CMS hat das Joomla-Projekt jetzt freigegeben. Die Version 3.4 bringt mehr als 700 Fehlerkorrekturen und natürlich auch eine Reihe neuer Funktionen.

Dazu zählt unter anderem das verbesserte Bearbeiten von Modulen im Frontend. Je nach Modultyp lassen sich hier sowohl der Text als auch die Parameter eines Moduls bearbeiten.

Einen besseren Schutz vor Spam und verbesserte Benutzerfreundlichkeit bei Anmeldung und Registrierung soll die von Google überarbeitete reCaptcha-Technik bieten.

Auf Joomla 3.4 können existierende Systeme über die integrierte Update-Funktion im Backend auf den neuesten Stand gebracht werden.

Fehler in Joomla-Updater per Update beseitigt

joomla-developmentEs waren die Updates Joomla 3.3.5 und 2.5.26, die einen Bug in das beliebte CMS einschleusten, über den der eingebaute Update-Mechanismus ausgehebelt wird.

Deshalb haben die Entwickler ein neues Update (3.3.6 und 2.5.27) herausgebracht, das aber auf einem anderen Weg als mit dem üblichen Klick eingespielt werden muss…

Die Aktualisierung ist aber trotzdem nicht besonders kompliziert. Administratoren können dafür den Erweiterungsmanager von Joomla nutzen, mit dem sich ZIP-Dateien hochladen und entpacken lassen.

Das neue Release Joomla 3.3.6 fügt dem CMS einen Fallback-Mechanismus für die Update-Komponente hinzu und korrigiert einen Fehler in der Passwort-Rücksetz-Routine sowie ein Tag-Problem. Weitere Details finden Sie in der Release-Ankündigung. Joomla 3.3.6 und 2.5.27 können Sie als Komplettpaket beziehungsweise Update-Paket über die Joomla-Website downloaden.

Eine BSI-Studie zu WordPress, Drupal, Typo 3 & Co.

bsi_studie-361405125c31f4eaDie Sicherheit von Web-CMS-Lösungen wie Drupal, Joomla!, Plone, Typo3 und WordPress hat das Bundesamts für Sicherheit in der Informationstechnik (BSI) in einer Studie untersucht. Diese CMS werden gerne zur Erstellung von Homepages benutzt, weil sie nichts kosten.

Gerade solche weit verbreiteten können für Angreifer das erste Ziel  bei dem Versuch sein, in das interne Netz eines Unternehmens einzudringen.

Hinzu kommt, dass diese Systeme häufig ohne weitere Anpassungen installiert und benutzt werden, so dass eine neu gefundene Schwachstelle auf einen Schlag viele Internetseiten gleichzeitig gefährdet.

Weiter Details und Erläuterungen dazu finden Sie auch bei Heise.

Internetseiten erstellen mit dem CMS WordPress

Gerade wenn es auf Inhalte ankommt, bietet sich WordPress als Content Management System (CMS) aus dem Open Source-Bereich an. Wer schon einmal Webseiten mit WordPress erstellt hat, weiß, wie einfach man neue Seiten anlegen und pflegen kann.

Auch was Designs angeht hat man die freie Auswahl – es gibt Tausende von freien Designs zu WordPress. Auch die meisten kostenpflichtigen Designs sind ihr Geld wert, und wer sich tiefer mit der Materie beschäftigt, hat auch kein Problem damit, eigene zu erstellen.

Das sind wohl auch die Gründe dafür, dass eine Untersuchung von Water & Stone vor einer guten Woche zeigte, das WordPress inzwischen das beliebteste kostenlose Content Management System geworden ist, und das mit einem deutlichen Abstand zu den zweit- und drittplatzierten CMS Joomla und Drupal.

Joomla 1.6 als Beta

Von Joomla 1.6 sind drei neue Beta-Versionen veröffentlicht worden. Diese neuen Versionen geben eine Vorschau der neuen Funktionen in dem CMS.  Eine neue Funktion erlaubt die Aktualisierung von Erweiterung mit einem einfachen Knopfdruck. Dieses neue Feature erhöht die Sicherheit, denn wenn es einfach geht, spielen die Benutzer die nötigen Updates schon eher zeitnah ein und schließen damit eventuell vorhandene Sicherheitslücken.

Von dem eher starren Rollen- und Rechte-System geht Joomla 1.6 auch ab. Man kann jetzt Benutzern gezielt einzelne, ihren Aufgaben angepasste Rechte zuordnen. Auch Kategorien und Pfadtiefen wurden ausgebaut. Die neue Version kann jetzt mit unbegrenzter Tiefe der Verschachtelungen klarkommen. Die Unterstützung semantischer XHTML-Links wird auch noch ausgebaut.

Unter der Oberfläche hat sich auch einiges geändert. Die Version 1.6 von Joomla wird mindestens PHP 5.2 brauchen, um zu laufen. Damit ist dann Joomla unter PHP 4 passé.

Category: Allgemein  Tags: ,  One Comment