In der LDAP-Bibliothek des Content Management Systems Joomla wurde eine acht Jahre alte Sicherheitslücke (CVE-2017-14596) entdeckt, die Angreifer dazu missbrauchen können, Anmeldedaten aus dem mit Joomla verbundenen LDAP-Server auszulesen. Das wiederum kann ein Angreifer nutzen, um an ein Admin-Konto der Joomla-Installation zu gelangen und diese so komplett unter seine Kontrolle zu bringen. Betroffen sind alle Joomla-Versionen von 1.5 bis einschließlich Version 3.7.5 – die Entwickler empfehlen ein Update auf die nun erschienene Version 3.8.0. Allerdings sind nur Installationen angreifbar, die mit einem LDAP-Server verbunden sind.
Das Lightweight Directory Access Protocol (LDAP) wird oft dazu verwendet, Software mit Benutzerdaten zu verbinden, die auch im Active Directory eines Windows-Netzwerks zur Anwendung kommen. So können etwa die Nutzer eines internen Firmen-Blogs ihre Windows-Login-Daten aus der Domäne dazu verwenden, sich an der Blog-Software anzumelden. Da diese Art der Installation für öffentlich erreichbare Blogs oft nicht anwendbar ist und die LDAP-Bibliothek außerdem mit Serverdaten versorgt werden muss, bevor sie funktionieren kann, ist diese Funktion in Joomla nach Neuinstallationen erst einmal deaktiviert.
Quelle: