Soeben haben die Entwickler des quelloffenen Content Management Systems (CMS) Joomla ein dringendes Update für ihr CMS auf PHP-Basis veröffentlicht.
Mit Joomla 3.4.5 stopfen sie drei Sicherheitsücken, darunter auch eine kritische SQL-Injection-Lücke, die es den Angreifern offenbar erlaubt, ungepatchte Joomla-Seiten zu übernehmen.
Gefährdet sind nur die Joomla-Versionen von 3.2 bis einschließlich 3.4.4. Ältere Versionen des CMS sind dafür nicht anfällig. Die Entwickler empfehlen allen Benutzern und Administratoren, das Update auf Version 3.4.5 so bald wie möglich einzuspielen.
Die mit dem Update zu schließende SQL-Injection-Lücke wird unter den CVE-Nummern CVE-2015-7297, CVE-2015-7857 und CVE-2015-7858 geführt. Diese Sicherheitslücke wurde Mitte Oktober vertraulich an die Entwickler gemeldet und wird nun genau eine Woche danach geschlossen – eine gute, schnelle Reaktion.
Zwei weitere Probleme, die auch mit dem Update beseitigt werden, erlauben Joomla-Nutzern ohne die Berechtigungen dafür den Zugriff auf versteckte Inhalte. Dabei handelt es sich um Fehler bei der Überprüfung von Zugangskontrolllisten (ACLs).
Im Grunde genommen ist das ein Problem mit dem NHE(Nicht Hier Entstanden)-Syndrom der Joomla-Entwickler. Würden die Jungs endlich konsequent statt ihres (nicht besonders gut) selbstgebastelten Datenbanklayers das in PHP eingebaute PDO mit seinem Escaping für den Datenbankzugriff benutzen, würden solche Probleme nicht mehr so häufig aufkommen.
Ich hoffe, dass das spätestens mit der nächsten Major-Version umgestellt wird…