Ist Joomla sicher? Eine Übersicht aller entdeckten Sicherheitslücken in Joomla 1.5.

Sonntag, 5 Februar 2012 04:52 geschrieben von Marco Beierer

Wenn es um die Sicherheit von Joomla geht, wird oft auf das Problem der unsicheren Erweiterungen verwiesen. Der Joomla Kern sei sicher, so sagt man. Da Joomla 1.5 bald das Ende seiner Lebenszeit erreicht, möchte ich die Gelegenheit nutzen, um eine Zusammenfassung der im Laufe der Zeit aufgedeckten kritischen Sicherheitslücken zu veröffentlichen. Auf Grund dieser Daten kann dann ein Rückschluss auf die Sicherheit des Joomla Kerns getroffen werden.

Die kritischen Sicherheitslücken in Joomla 1.5

Folgend eine Liste aller veröffentlichten kritischen Sicherheitslücken in den Joomla Versionen 1.5.0 bis 1.5.25:

  • Sicherheitslücke im XML-RPC/Blogger API Plugin, welche nicht berechtigten Nutzern das Bearbeiten, Veröffentlichen und Löschen von Artikeln erlaubt. [Joomla 1.5.1]
  • Kritische Sicherheitslücke in der Passwort Erinnerungsfunktion, wodurch es möglich war, das Passwort des Administrators zu ändern. [Joomla 1.5.5]
  • Schwache Generierung der Zufallszahlen, wodurch alle verwendeten Tokens unter Umständen erraten werden konnten. [Joomla 1.5.6]
  • Fehler in der Eingabe-Validierung der Funktion JRequest::setVar, wodurch Variablen eingeschleust werden konnten. [Joomla 1.5.6]
  • Sicherheitslücke, mit der die komplette Verzeichnisstruktur des Servers aufgedeckt werden konnte. [Joomla 1.5.8]
  • Sicherheitslücke, durch die es möglich war, Dateien ohne Login hochzuladen und zu löschen. [Joomla 1.5.12]
  • Der Passwort Wiederherstellungstoken wurde unverschlüsselt in der Datenbank gespeichert. In Kombination mit einer SQL Injektionslücke (zum Beispiel in einer Drittkomponente) wäre es möglich gewesen, die Passwörter aller registrierten Nutzer zu ändern. [Joomla 1.5.15]
  • Schwäche bei der Generierung des Passwort-Reset-Tokens. [1.5.24]

Sonstige Sicherheitslücken in Joomla 1.5

Neben den genannten Lücken wurden noch mindestens 16 XSS Lücken unterschiedlicher Risikostufen, 2 CSRF Probleme, und jeweils 9 Sicherheitslücken mit mittlerem und geringem Risiko entdeckt und behoben.

Wie sicher ist Joomla und für wen ist es geeignet?

Auf Grund der Vielzahl an (schweren) Lücken kann man nicht sagen, dass der Joomla Kern sehr sicher sei. Die Behauptung, nur Erweiterungen von Drittherstellern tragen zu den Sicherheitsproblemen bei, ist falsch.

Auch die Aussage, dass man, solange Joomla (und alle Erweiterungen) auf dem aktuellsten Stand gehalten werden, auf der sicheren Seite ist, gilt nur begrenzt. Der gezielte Angriff (mit dem nötigen Wissen) ist jederzeit möglich und ein Angreifer kann selbst entdeckte Lücken zur Kompromittierung der Website nutzen.

Bei kleineren privaten oder gewerblichen Websites, bei denen keine sensiblen Daten hinterlegt sind, ist dies jedoch kein allzu großes Problem. Es wird sich wahrscheinlich niemand die Mühe machen, die nötige Zeit oder das Geld für einen erfolgreichen Angriff zu investieren.

Wenn auf der Website sensible (Kunden)Daten hinterlegt sind (zum Beispiel bei Shops), sieht die Situation schnell anders aus. In diesem Falle sollte gut überlegt werden, ob weitere Sicherheitsmaßnahmen zu ergreifen sind.

Ein abschliessendes Wort

Auch wenn dieser Artikel nicht unbedingt positiv ist, soll er keine vernichtende Kritik an Joomla sein. Das Ziel dieses Artikel ist es, für das Thema Sicherheit zu sensibilisieren und die oft schnell getroffene Aussage "Joomla ist sicher!" zu überdenken. Ob das Sicherheitsniveau von Joomla ausreicht, hängt immer vom Anwendungsgebiet ab.

Kommerzielle PHP Content-Management-Systeme (CMS) sind auch nicht unbedingt sicherer als Open Source CMS. Durch den nicht öffentlich zugänglichen Code, werden die Sicherheitslücken nur seltener (oder nicht) entdeckt. Bei einem gezielten Angriff stellt das Auffinden der Schwachpunkte jedoch keine große Hürde dar. Es ist im Gegenteil sogar noch einfacher, da unter Umständen mehr Lücken vorhanden sind.

Quellen