Sicherheitswarnung und Release Joomla 1.5.6
Gerade trudelt die Meldung über ein neues Joomla! Release sowie eine Sicherheitswarnung für Joomla 1.5 bis 1.5.5 bei mir herein:
In Joomla! 1.5 bis und mit Joomla! 1.5.5 besteht eine Sicherheitslücke welche es potenziellen Hackern ermöglicht, das Passwort des Administrators zu manipulieren und sich so Zugang zum Joomla! Backend zu verschaffen.In Joomla! 1.5 bis und mit Joomla! 1.5.5 besteht eine Sicherheitslücke welche es potenziellen Hackern ermöglicht, das Passwort des Administrators zu manipulieren und sich so Zugang zum Joomla! Backend zu ermöglichen.
Es wird daher dringend ein Update auf die seit gestern neu verfügbare Version Joomla! 1.5.6 empfohlen.
Man kann die Datei
[joomlaroot]/components/com_user/models/reset.php
auch manuell patchen.
Hierzu ab Zeile 113 nach global $mainframe;
folgendenCode hinzu zufügen:
if(strlen($token) != 32) { $this->setError(JText::_(’INVALID_TOKEN’)); return false; }
Da laut bereits Anleitungen kursieren, wie man diese Sicherheitslücke ausnutzt, sollte dieses Update dringend durchgeführt werden. Alternativ, wenn eine sofortige Aktualisierung des Gesamtsystems nicht möglich ist, oben genannten Workaround ausführen.
Liest man sich so die Kommentare zu diesem Sicherheitsrelease durch, wird schnell deutlich:
Das Unverständnis für solche Fehler wächst.
Bei mir auch, muss ich gestehen. Es ist nicht das erste Mal, dass mir in meiner Joomla Zeit solche Dringlichkeitsmeldungen untergekommen sind.
Nachdem dann noch einiges andere dazu kam, war das mit ein Punkt für mich zu sagen:
nein, brauch ich nicht mehr.
Ehrlich gesagt, ich bin froh, dass ich das keinem Kunden erklären und außerdem keine einzige produktiv laufende Joomla 1.5.x Website habe, bei der ich nun sofort aktiv werden muss.
