Lücke in CMS Joomla 1.0.13

[ThoRo]

Da hier ja einige das CMS Joomla für ihren Initiativenauftritt verwenden, möchte ich auf eine aktuelle Sicherheitslücke im aktuellen Joomla 1.0.13 aufmerksam machen.

Den ausführlichen Text dazu findet man als Newsmeldung bei heise.de: Lücke in CMS Joomla ermöglicht Hinzufügen von Admin-Konten

Ein Angreifer könnte speziellen JavaScript-Code in seiner Seite platzieren und warten, dass der Betreiber eines verwundbaren CMS seine Seite besucht. Der Trick funktioniert aber nur, wenn ein Anwender als Super Admin am CMS angemeldet ist und mit einem weiteren Browserfenster die manipulierte Seite ansurft, die den speziellen Code enthält.
[...]
Bis dahin sollten Anwender bei der Arbeit im CMS keine weiteren Browserfenster öffnen. Allerdings reicht es Berichten zufolge nicht aus, dass Fenster nach der Arbeit im CMS zu schließen, bevor man andere Seiten besucht. Vielmehr muss der Anwender die Session aktiv beenden, in dem er sich aus dem Backend ausloggt.

MfG

ThoRo


Edit: Falsche Versionsnummer korrigiert

[breaky]

es ist die version 1.0.13 gemeint.

aber schön das joomla jetzt auch erwähnung findet g

[governet]

Inzwischen ist auch die Finale 1.5er Version rausgekommen.

[breaky]

...und schon das nächste Security Release..: 1.0.15

... Grund dafür ist eine Sicherheitslücke die kurz nach Erscheinen der Version 1.0.14 entdeckt wurde, und nun mit Version 1.0.15 behoben wird. Da es sich dabei um einen kritischen Fehler handelt empfehlen die Entwickler selbst dringend zu einem schnellen Update.

So http://www.joomla-downloads.de