Joomla-Update beseitigt SQL-Injection-Lücke

In der Version 3.7.0 des Content-Management-Systems (CMS) Joomla gibt es eine SQL-Injection-Lücke, durch die Hacker dem CMS eigene Datenbankbefehle unterjubeln können.

Solche Schwachstellen können böse Folgen haben: Angreifer könnten zum Beispiel den Inhalt der Seite manipulieren und so Schadcode einschleusen oder aber auf die gespeicherten Nutzerdaten zugreifen.

Die Sicherheitslücke sitzt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Das Joomla-Team gab dem Sicherheitsproblem den zweithöchsten Schweregrad „Hoch“. Bisher gibt Joomla aber keine Details bekannt – man möchte wohl Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die man von der Projektseite herunterladen kann, beseitigt das Sicherheitsproblem. Wer also noch eine betroffene Joomla-Installation betreibt, sollte deshalb möglichst umgehend auf die gepatchte aktuelle Version umsteigen.

Da  der Patch nun einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 natürlich recht leicht herausfinden, an welcher Stelle die eingehenden Daten nicht ausreichend geprüft werden und diese Lücke dann auch für ihre bösen Zwecke missbrauchen.

Über Klaus

Ich beschäftige mich seit fast 30 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder des "Neulands".
Dieser Beitrag wurde unter News, Programmierung, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.