Sicherheitslücke im Joomla 1.5.26 Core

Donnerstag, 18 Juli 2013 01:13

Am vergangenen Montag habe ich hier im Blog über eine kryptografische Schwachstelle in allen aktuellen Joomla Versionen berichtet. Der veröffentlichte Exploit kann nur mit den aktuellen Joomla Versionen 2.5.x und 3.1.x verwendet werden, allerdings lässt sich nach dem selben Prinzip auf einfache Weise ein Exploit für Joomla 1.5.26 entwickeln.

Auf Grund dieser Tatsache kann Joomla 1.5.26 aktuell nicht mehr als sicher angesehen werden und ein Update auf eine aktuelle Joomla Version (sobald die Sicherheitslücke in diesen geschlossen wurde) sollte in Erwägung gezogen werden.

Weiterlesen

Kryptografische Schwachstelle in Joomla

Montag, 15 Juli 2013 01:05

Im April 2013 habe ich eine kryptografische Schwachstelle in Joomla entdeckt, welche es unter anderem ermöglicht, das im Remember Me-Cookie gespeicherte Passwort im Klartext auszulesen. Das Cookie kann von einem Angreifer beispielsweise durch eine XSS-Attacke erbeutet werden.

Betroffen von der Schwachstelle sind alle seit Joomla 1.5 veröffentlichten Joomla Versionen. Der beschriebene Exploit wurde für Joomla 2.5 entwickelt, ist mit leichten Modifikationen aber auch für Joomla 1.5 funktionsfähig.

Die Schwachstelle wurde dem Joomla Security Strike Team (JSST) detailiert am 12.05.2013 gemeldet. Als auch nach zweimaliger Nachfrage keine Reaktion kam, wurde die Lücke am 15.06.2013 auf einer Mailing List veröffentlicht. Mittlerweile hat sich jemand aus dem Joomla Entwicklerteam der Schwachstelle angenommen, allerdings ist bis zum heutigen Tag (15.07.2013) noch kein Update verfügbar.

Weiterlesen

Joomla 3.5 erscheint erst im März 2014

Dienstag, 5 Februar 2013 01:58

Laut einer Bekanntmachung des Joomla Production Leadership Team (PLT) vom Dezember 2012 wird Joomla 3.5 nicht wie bisher geplant im September 2013, sondern erst im März 2014 veröffentlicht. Zudem werden in Zukunft alle Joomla Versionen mit Langzeitsupport für 2 Jahre, statt wie bisher für 1.5 Jahre, von offizieller Seite mit Updates versorgt.

Weiterlesen

Ist Joomla sicher? Eine Übersicht aller entdeckten Sicherheitslücken in Joomla 1.5.

Sonntag, 5 Februar 2012 04:52

Wenn es um die Sicherheit von Joomla geht, wird oft auf das Problem der unsicheren Erweiterungen verwiesen. Der Joomla Kern sei sicher, so sagt man. Da Joomla 1.5 bald das Ende seiner Lebenszeit erreicht, möchte ich die Gelegenheit nutzen, um eine Zusammenfassung der im Laufe der Zeit aufgedeckten kritischen Sicherheitslücken zu veröffentlichen. Auf Grund dieser Daten kann dann ein Rückschluss auf die Sicherheit des Joomla Kerns getroffen werden.

Weiterlesen

Joomla Migration von 1.5 auf 2.5

Mittwoch, 11 Januar 2012 01:15

Im Zuge des in Kürze erscheinenden Joomla 2.5 (mit Langzeitsupport) stellt sich vielen Joomla Nutzern die Frage, ob eine Migration (oft auch als Update oder Upgrade bezeichnet) von Version 1.5 auf 2.5 nötig ist. Diese Frage – sowie einige Ergänzungsfragen – möchte ich im folgenden Artikel beantworten.

Weiterlesen

Croogo: Ein Statusupdate

Samstag, 3 Dezember 2011 12:22

Ende April 2010 habe ich das erste Mal einen Blick auf das Content-Management-System (CMS) Croogo geworfen. Croogo ist ein CMS, welches das CakePHP-Framework verwendet. In der Welt der CakePHP basierenden CMS hat sich – einer kurzen Recherche zufolge – zwischenzeitlich nicht viel getan. Die meisten Projekte werden bereits kurz nach der Veröffentlichung nicht mehr weiterentwickelt. 

Weiterlesen

Joomla 1.6 Screenshots

Dienstag, 3 August 2010 10:51

Die Entwicklung von Joomla 1.6 geht langsam in die Endphase. Mittlerweile ist die sechste Beta Version erschienen.

Zeit für ein paar Screenshots der überarbeiteten Administrationsoberfläche inklusive der neuen Rechteverwaltung.

Weiterlesen