Sicherheitslücke im Content Management System Joomla!

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Sicherheitslücke im Content Management System Joomla! und klassifiziert deren Risiko als „sehr hoch“.

Von der Sicherheitslücke betroffen sind die Joomla!-Versionen 3.4.4 bis einschließlich 3.6.4. Die Ausnutzung der Schwachstelle ermöglicht es einem Angreifer, beliebigen Schadcode auszuführen und damit das betroffene System erheblich zu beeinträchtigen. Dafür muss er sich entweder regulär anmelden können, möglicherweise sogar mit Admin-Rechten, oder die in der aktuellen Version Joomla! 3.6.4 behobenen Sicherheitslücken ausnutzen, wodurch die Registrierung umgangen und als angemeldeter Benutzer erhöhte Rechte erlangt werden können.

Laut BSI stehen für die Sicherheitslücke im Content Management System Joomla! bisher weder ein Sicherheitsupdate noch ein Workaround bereit. Nutzer sollten zumindest die Aktualisierung auf Joomla! 3.6.4 durchführen, um sich wenigstens gegen nicht-angemeldete Angreifer zu wappnen. Außerdem sollten alle existierenden Administratoren-Konten geprüft werden, um die Auswirkungen eines möglicherweise bereits erfolgten Angriffs zu minimieren.

 

UPDATE 14.12.2016
Joomla! veröffentlichte die Version 3.6.5 als Sicherheitsupdate und schließt damit sowohl die oben gemeldete Sicherheitslücke wie auch zwei weitere. Da zumindest eine bereits aktiv für Angriffe ausgenutzt wird, sollten Sie das Sicherheitsupdate auf Joomla! 3.6.5 möglichst zeitnah installieren.