Auf dem Content-Management-System (CMS) Joomla bauen zwar nur 9,2 % aller Internetseiten auf. Trotzdem ist es nach dem Platzhirschen WordPress mit 16 % aller Webseiten (58 Millionen Internetauftritte) die Nummer zwei der großen CMS. Dritter beim Ranking der der Seitenbaukästen ist Drupal, das den Unterbau von 6,7 % aller Webseiten bildet.
Für alle Joomla-Installationen haben die Entwickler soeben ein Sicherheitsupdate veröffentlicht, das eine Sicherheitslücke schließt, über welche Angreifer Joomla-Installationen eigenen Code zur Ausführung unterschieben konnten. Das Joomla-Team stuft den Schweregrad dieser Sicherheitslücke als hoch ein und empfiehlt den Benutzern, die abgedichtete Version 3.4.6 sofort einzuspielen.
Aber Achtung: Auf der offiziellen Joomla-Downloadseite wird zurzeit noch die verwundbare Version 3.4.5 angeboten. Nutzer von älteren, nicht mehr unterstützten Versionen finden den Sicherheitspatch auf einer Extra-Seite.
Die Version 3.4.6 soll zusätzlich noch zwei weitere, nicht ganz so gefährlich eingestufte Lücken in dem CMS schließen. Durch diese können sich Angreifer in den Versionen 3.4.0 bis 3.4.5 durch ein Problem beim Auslesen der XML-Datei des Joomla-Installationspakets Zugriff auf Dateien beschaffen (Directory Traversal). Der zweite, auch sehr niedrig eingestufte Sicherheitspatch sichert nach Angaben der Entwickler die com_templates weiter gegen Cross-Site-Request-Forgery-Angriffe ab. Betroffen sind davon die Versionen 3.2.0 bis 3.4.5.
