alexa
In aktuellen Versionen des Content Management Systems Joomla klafft eine Lücke, über die Angreifer die Webseite in ihre Kontrolle bringen können. Die Entwickler empfehlen Admins, das Update so schnell wie möglich einzuspielen.

Die Joomla-Entwickler haben ein dringendes Update für ihr quelloffenes Content Management System veröffentlicht. Mit Joomla 3.4.5 stopfen sie drei Lücken, darunter eine kritische SQL-Injection-Lücke, die es Angreifern allem Anschein nach erlaubt, Joomla-Installationen zu kapern. – ältere Versionen sind nicht anfällig. Die Entwickler empfehlen allen Admins, das entsprechende Update so schnell wie möglich einzuspielen.

Die SQL-Injection-Lücke wird unter den CVE-Nummern CVE-2015-7297, CVE-2015-7857 und CVE-2015-7858 geführt. Sie wurde am 15. Oktober vertraulich an die Entwickler gemeldet und wird nun, genau eine Woche später, geschlossen. Zwei weitere Lücken, die ebenfalls mit dem Update gestopft werden, erlauben Joomla-Nutzern ohne die entsprechenden Berechtigungen den Zugriff auf versteckte Inhalte. Dabei handelt es sich um Bugs bei der Überprüfung von Zugangskontroll-Listen (ACLs).

Quelle:

http://www.heise.de/security/meldung/Joomla-Patch-Kritische-SQL-Injection-Luecke-geschlossen-2853240.html