Für eine bereits im Dezember erkannte Schwachstelle ist ein Demo aufgetaucht, welches zeigt, wie eine präparierte Webseite einen neuen Admin ins Joomla CMS hinzufügt. Joomla-Betreiber sollen bei der Wartung des CMS entsprechend vorsichtig sein.Angreifer bauen hierzu einen speziellen JavaScript-Code in ihre Webseite ein und warten, das ein Joomla-Benutzer die manipulierte Webseite besucht. Der Code funktioniert aber nur dann, wenn der Joomla-Benutzer als Super Admin im CMS angemeldet ist.
Die Lücke ist seit Ende Dezember in Version 1.5 RC4 bereits geschlossen. Das gilt aber nicht für die Version 1.0.13. Hier arbeiten die Entwickler an einem Update.
Joomla-Benutzer sollen keine weiteren Browserfenster öffnen während der Arbeit im CMS und nach der Arbeit ein Logout durchführen und anschließend den Browser komplett schliessen. Dies beendet die Session und bietet Schutz vor der beschriebenen Sicherheitslücke.
zurück zur Übersicht | Szene.News eintragen
Kommentare
Noch keine Kommentare vorhanden.
Kommentar anfügen
