Initiative gegen digitale Spaltung -geteilt.de- e. V. DSL bzw. Breitband für alle.

Verfasst: **11.01.2008 16:55**

Da hier ja einige das CMS Joomla für ihren Initiativenauftritt verwenden, möchte ich auf eine aktuelle Sicherheitslücke im aktuellen Joomla 1.0.13 aufmerksam machen.

Den ausführlichen Text dazu findet man als Newsmeldung bei heise.de: Lücke in CMS Joomla ermöglicht Hinzufügen von Admin-Konten

Heise.de hat geschrieben:Ein Angreifer könnte speziellen JavaScript-Code in seiner Seite platzieren und warten, dass der Betreiber eines verwundbaren CMS seine Seite besucht. Der Trick funktioniert aber nur, wenn ein Anwender als Super Admin am CMS angemeldet ist und mit einem weiteren Browserfenster die manipulierte Seite ansurft, die den speziellen Code enthält.
[...]
Bis dahin sollten Anwender bei der Arbeit im CMS keine weiteren Browserfenster öffnen. Allerdings reicht es Berichten zufolge nicht aus, dass Fenster nach der Arbeit im CMS zu schließen, bevor man andere Seiten besucht. Vielmehr muss der Anwender die Session aktiv beenden, in dem er sich aus dem Backend ausloggt.

MfG

ThoRo

Edit: Falsche Versionsnummer korrigiert

Verfasst: **22.01.2008 21:08**

es ist die version 1.0.13 gemeint.

aber schön das joomla jetzt auch erwähnung findet g

Verfasst: **22.01.2008 21:16**

Inzwischen ist auch die Finale 1.5er Version rausgekommen.

Verfasst: **22.02.2008 15:20**

...und schon das nächste Security Release..: 1.0.15

... Grund dafür ist eine Sicherheitslücke die kurz nach Erscheinen der Version 1.0.14 entdeckt wurde, und nun mit Version 1.0.15 behoben wird. Da es sich dabei um einen kritischen Fehler handelt empfehlen die Entwickler selbst dringend zu einem schnellen Update.

So http://www.joomla-downloads.de

Initiative gegen digitale Spaltung -geteilt.de- e. V. DSL bzw. Breitband für alle.

Lücke in CMS Joomla 1.0.13

Lücke in CMS Joomla 1.0.13

Re: Lücke in CMS Joomla 1.0.13