In den Joomla-Versionen 1.5 bis 3.4.6 klafft eine kritische Lücke, über die Angreifer Opfern Code unterjubeln können. Eigentlich sollte das Sicherheitsupdate von vergangener Woche das freie Content-Management-System absichern. Wie sich nun herausstellte, findet sich die Ursache der Schwachstelle in PHP, berichtete das Joomla-Team.
Nutzer sollten die aktuelle Joomla-Version so schnell wie möglich einspielen. Denn es gibt bereits einen Expoit und Sicherheitsforscher von Sucuri berichten von ersten Übergriffen.
Den Entwicklern zufolge enthält Version 3.4.7 nur das Sicherheitsupdate und keine neuen Funktionen. Zudem wird noch eine SQL-Injection-Lücke geschlossen, die die Entwickler mit dem Schweregrad leicht einstufen. Nutzer der Joomla-Versionen 1.5 und 2.5 steht der Patch zum Stopfen der kritischen Lücke auch zur Verfügung.
PHP als Ursache
Es seien ausschließlich Joomla-Versionen bedroht, die im Zusammenhang mit verwundbaren PHP-Versionen zum Einsatz kommen. Die PHP-Versionen 5.4.45, 5.5.29, 5.6.13 und 7 sollen nicht von der Lücke betroffen sein. Zudem seien auch bestimmte Linux-LTS-5.3-Versionen abgedichtet.
Admins sollten also ihre PHP-Version prüfen. Um auf Nummer sicher zu gehen, hat sich das Joomla-Team dazu entschieden, die aktuelle Version 3.4.7 des CMS-Systems mit zusätzlichen Fixes abzusichern. Denn nicht jede Admin prüfe regelmäßig die zum Einsatz kommende PHP-Version.
Quelle: