Vier Schwachstellen in CMS Joomla beseitigt
Zwei der Schwachstellen stufen die Joomla-Entwickler als kritisch ein.
- Daniel Bachfeld
Die Entwickler des Open-Source CMS Joomla haben in Version 1.5.7 (Wovusani) vier Sicherheitsprobleme beseitigt. So lassen sich laut Bericht durch einen Fehler in der Funktion JRequest::setVar eigene Variablen in zurückgegebene Datensätze einschleusen. Wie genau ein Agriff dann vonstatten geht, steht nicht im Bericht. Immerhin haben die Entwickler die Lücke aber als kritisch eingestuft. Darüber hinaus stufen die Entwickler einen Fehler im Pseudo-Zufallsgenerator als kritisch ein, da er die Entropie erheblich einschränke und sich somit Token und Passwörter leichter erraten lassen sollen.
Als weniger kritisch gelten zwei Probleme im Zusammenhang mit URL-Redirection, bei der bestimmte manipulierte URLs im CMS einen Besucher automatisch auf Spammer- oder Phishing-Seiten umleiten können. Die Entwickler empfehlen dringend, auf die Version 1.5.7 zu wechseln, die Version behebt auch mehrere nicht sicherheitsrelevante Fehler.
Siehe dazu auch:
- Joomla 1.5.7 Security Release Now Available Ankündigung von Joomla
- Latest Security News, Liste der Fehlerberichte
- Joomla im heise Software-Verzeichnis
(dab)
