Kritische Sicherheitslücke in Joomla 4.0.0 bis 4.2.7 - Am 16. Februar 2023 kommt das Update!

  • Achtung an alle VirtueMart-User, die schon Joomla 4 einsetzen!


    Es gibt eine kritische Sicherheitslücke in Joomla 4, die es nötig macht, sofort bei Erscheinen der Version 4.2.8 ein Update zu machen.


    Termin: 16. Februar, ca. 16 Uhr UTC, das heißt in mitteleuropäischer Winterzeit 17:00 Uhr.

    Diesen Termin unbedingt vormerken und einhalten.


    Die Sicherheitslücke ist bislang nicht veröffentlicht. Es wird durch die Änderungen im Code der neuen Version jedoch für Hacker ersichtlich werden, wie die Sicherheitslücke ausgenutzt werden kann.

    Das bedeutet, dass innerhalb weniger Stunden bereits Angriffe laufen können. So geschehen vor einigen Jahren bei Joomla 3.


    Wer sofort nach Erscheinen Joomla 4.2.7 auf 4.2.8 aktualisiert, wird sehr wahrscheinlich auf der sicheren Seite sein.

    Wer das nicht kann, sollte die Seite spätestens ab Veröffentlichung von Joomla 4.2.8 vor jeglichen Aufrufen schützen.

    Ein Verzeichnisschutz des Hauptverzeichnisses kann hier helfen.


    Jetzt die gute Nachricht: Alle, die sich an meine Empfehlungen gehalten haben und noch Joomla 3 einsetzen, sind sicher.

    Ja, da hört man ein, ich hab's ja gesagt, heraus.


    Ich bitte zu beachten, dass natürlich auch offen im Netz liegende Testinstallationen von Joomla 4 anfällig sind. Die vergisst man gerne manchmal.


    EDIT
    Der Link zur Sicherheitsmitteilung auf Deutsch:
    https://www.joomla.de/news/joo…8-sicherheitsankuendigung

    Grüße

    Stefan

  • Ich frage nur zur Sicherheit, Dieser Hinweis gilt doch nur für Versionen, welche sich bereits in der Joomla 4.2.X befanden?

    Wenn z.B. jetzt von Joomla 3.10.11 auf Joomla 4.2.8 aktualisiert wird, muss man diese nachträglichen Hinweise nicht beachten?

  • Hallo Faro,


    in der Tat, wenn Du von Joomla 3 auf Joomla 4.2.8 aktualisierst, gibt es keine Probleme.


    Die Sicherheitslücke ist in der neuen API, die mit Joomla 4 eingeführt wurde.

    Alle Versionen zwischen 4.0.0 und 4.2.7 und auch einige neuere Betas haben die Sicherheitslücke.


    Theoretisch war es deshalb seit Veröffentlichung von Joomla 4 möglich, die Passwörter der configuration.php auszuspähen.

    Sofern externer Zugriff auf die Datenbank möglich ist, könnte man also beliebig in der Datenbank arbeiten.


    Deshalb wird empfohlen, nach dem Update alle Passwörter in der configuration.php zu ändern, das wären im Normalfall das Datenbankpasswort und evtl. die SMTP-Daten für E-Mails.


    Wer ganz sicher gehen möchte, sollte auch die Passwörter von Super Admins, Administratoren usw. ändern, insbesondere von Super Admin Accounts, die evtl. brach liegen und die kaum benutzt werden.


    Es steht geschrieben, dass bisher keine Ausnutzung dieser Sicherheitslücke bekannt ist, die Änderungen der Passwörter sind also Vorsichtsmaßnahmen. Sie mögen lästig sein, aber ich kann nur empfehlen, die Passwörter zu ändern.


    Theoretisch könnte jemand eine Sammlung mit Zugangsdaten haben, die irgendwann dann einmal eingesetzt werden.

    Sehr wahrscheinlich ist das nicht, aber sicher ist sicher.


    Grüße

    Stefan