Wichtiges Joomla-Update auf Version 3.4.5

Dienstag, 20 Oktober 2015 02:31

Das Joomla-Sicherheitsteam hat am vergangenen Freitag angekündigt, dass am kommenden Donnerstag, dem 22. Oktober, um 16 Uhr mitteleuropäischer Zeit ein sehr wichtiges Sicherheitsupdate für Joomla 3 veröffentlicht wird. Dieses Vorgehen ist äusserst ungewöhnlich und lässt darauf schliessen, dass die gefundene Sicherheitslücke sehr kritisch ist. Die offizielle Ankündigung des Updates finden Sie in Englisch auf der offiziellen Joomla-Website.

In einem vergleichbaren Fall beim Content-Managment-System Drupal konnten bereits nach sieben Stunden grossangelegte und automatisierte Angriffswellen beobachtet werden. Bei Drupal wurde die Schliessung der Sicherheitslücke nicht angekündigt und die Kriminellen hatten keine Zeit sich vorzubereiten. Durch die Ankündigung des Joomla-Updates haben nun auch die Kriminellen genügend Zeit, um sich auf Ihre Angriffe vorzubereiten und ich rechne damit, dass die ersten grossen Angriffswellen innerhalb von zwei oder drei Stunden nach der Veröffentlichung des Updates starten.

Alle Joomla-Websites, die am Donnerstag bis spätestens 18 Uhr nicht aktualisiert wurden, sind ab dann in ernsthafter Gefahr gehackt zu werden. Damit sind hohe Risiken für Ihre Besucher verbunden und im schlimmsten Fall kann eine gehackte und durch Kriminelle missbrauchte Website für Sie zu straf- oder zivilrechtlichen Konsequenzen führen.

Ob auch ältere Joomla-Version von der Lücke betroffen sind ist nicht bekannt und wird auch nicht bekannt gegeben. Bei Joomla 1.5 schätze ich die Gefahr als sehr gering ein. Dass Joomla 2.5 betroffen ist, ist durchaus denkbar. Ältere Joomla 3-Versionen sind wahrscheinlich sicher betroffen.

Wartungsvertrag

Auf Grund der Tragweite des Problems und des engen zeitlichen Rahmens kann ich das Update leider nicht für alle Kunden innerhalb der notwendigen Zeitspanne durchführen. Garantieren kann ich die Durchführung nur für Kunden mit einem Wartungsvertrag. Der Abschluss eines Wartungsvertrags mit einer Mindestlaufzeit von 12 Monaten ist noch möglich, falls aktuell zumindest Joomla 3.4.x verwendet wird. Bei Verwendung einer älteren Joomla 3-Version besteht nach Absprache eventuell die Möglichkeit eines Wartungsvertrags. Für Joomla 2.5 kann ich Ihnen aktuell leider keinen Wartungsvertrag anbieten. Nähere Informationen zum Wartungsvertrag finden Sie auf meiner Website.

Update-Anleitung

Falls Sie das Update selbst durchführen möchten, finden Sie auf meiner Website eine ausführliche Anleitung. Falls Sie sich unsicher sind, lesen Sie den Text bitte vollständig und genau durch und erstellen Sie zuvor auf jeden Fall eine Sicherung Ihrer Website. Die Anleitung beschreibt nur ein einfaches Update (z.B. von Joomla 3.4.1 auf 3.4.4) und kein Upgrade (z.B. von Joomla 2.5.x auf 3.4.x).

Handlungsempfehlungen

Falls Sie aktuell Joomla 3 verwenden, sollten Sie bis spätestens Mittwoch-Abend auf die aktuellste Version 3.4.4 aktualisieren und eine vollständige Sicherung Ihrer Website beziehungsweise Ihres Webspaces inklusive aller Datenbanken erstellen. Die Sicherung müssen Sie auf jeden Fall auf Ihren Rechner herunterladen. Am Donnerstag-Mittag sollten Sie dann das Update auf Joomla 3.4.5 zeitnah nach der Veröffentlichung einspielen.

Falls Sie noch Joomla 2.5 einsetzen, ist die Zeit für ein Upgrade auf Joomla 3 ziemlich knapp bemessen. Ich kann diese Woche zeitlich leider keine Upgrades mehr unterbringen. Das Upgrade ist mit einigen Schwierigkeiten verbunden und sollte daher nur von Personen mit dem nötigen Fachwissen durchgeführt werden. Falls Sie keine Möglichkeit mehr haben, auf Joomla 3 zu aktualisieren, würde ich Ihnen empfehlen, am Mittwoch-Abend eine umfangreiche Sicherung Ihres Webspaces und Ihrer Datenbanken zu erstellen. Wichtig ist, dass Sie auch alle Dateien sichern, die nichts direkt mit Joomla zu tun haben. Diese Sicherung müssen Sie dann auf Ihren Computer herunterladen, sodass sie in Sicherheit ist und später gegebenenfalls verwendet werden kann. 

Sollte Joomla 2.5 von der Sicherheitslücke betroffen sein, wird mit etwas Glück zeitnah ein inoffizieller Sicherheitspatch veröffentlicht. Dieser würde dann voraussichtlich die letzte Version der Joomla 2.5-Serie voraussetzen, sodass es empfehlenswert ist, bis Mittwoch-Abend bereits auf Joomla 2.5.28 zu aktualisieren.

Nachtrag zur Drupal-Sicherheitslücke vom 15. Oktober 2014

Mittwoch, 29 Oktober 2014 10:23

Das Drupal Security Team hat heute einen Nachtrag zur am 15. Oktober 2014 veröffentlichten SQL-Injection-Sicherheitslücke veröffentlicht. Darin weist das Sicherheitsteam darauf hin, dass die Sicherheitslücke bereits wenige Stunden nach der Veröffentlichung aktiv und automatisiert ausgenutzt wurde. Alle Drupal-Installationen, die am 15. Oktober bis 23 Uhr (UTC) noch nicht aktualisiert wurden, sollten als kompromittiert betrachten werden.

Da die restlose Entfernung aller möglicherweise installierten Hintertüren sehr schwierig ist, wird zur Wiederherstellung eines sauberen Zustands empfohlen, auf ein Backup, welches vor der Veröffentlichung der Lücke erstellt wurde, zurückzugreifen.

Weitere Informationen zur allgemeinen Vorgehensweise nach einem Hack gibt es im Artikel Your Drupal site got hacked. Now what?

Einrichtungsassistent für den Website-Backup-Service

Donnerstag, 26 Juni 2014 03:30

In der Vergangenheit gab es bei mehreren Kunden Probleme mit der Einrichtung von Websites im Website-Backup-Service. Um diesem Problem entgegen zu wirken, habe ich einen Einrichtungsassistent entwickelt und in den Website-Backup-Service integriert. Es ist nun in vier einfachen Schritten möglich, eine Website inklusive Datenbank einzurichten.

Zudem steht der Backup-Service für Interessenten und Kunden aus Deutschland und Österreich ab sofort auch unter den Domains websitebackup.de und websitebackup.at zur Verfügung. Die Domain websitebackup.ch ist weiterhin für alle Interessenten und Kunden aus der Schweiz erreichbar.

Website-Backup-Service gestartet

Donnerstag, 27 Februar 2014 12:26

Während meiner Tätigkeit als Ansprechpartner bei Website-Problemen in den vergangenen Jahren, ist mir häufig aufgefallen, dass bei Bedarf oftmals kein aktuelles Backup einer Website verfügbar ist. Beispielsweise nach einer Manipulation einer Website durch Hacker oder bei einem Bedienfehler. Die Wiederherstellung einer funktionierenden Version der Website ist dann oftmals sehr aufwändig und teuer.

Aufgrund dieser Erfahrung habe ich einen Website-Backup-Service entwickelt. Der Service erstellt auf Wunsch täglich, wöchentlich oder monatlich automatisch ein Backup einer Website. Mit der Nutzung des Services ist daher immer sichergestellt, dass im Bedarfsfall eine aktuelle Sicherung einer Website verfügbar ist. Mit einer eingebauten Vergleichsfunktion ist es zudem möglich, den Zeitpunkt einer Manipulation oder die Ursache eines Fehlers schnell herauszufinden.

Der Service steht seit gestern unter https://www.websitebackup.ch zur Verfügung. Aktuell befindet sich der Service noch in einer Testphase, die wichtigsten Funktionen sind jedoch einsatzbereit.

Version 1.0.0-alpha.4 der Galerie für Joomla veröffentlicht

Samstag, 18 Mai 2013 08:50

Die Galerie Erweiterung für Joomla ist ab heute in Version 1.0.0-alpha.4 verfügbar. Die wichtigste Neuerung dieser Version ist der Support von Namenskovertierungsplugins. Diese erlauben es, on-the-fly den dargestellten Ordnernamen nach belieben zu modifizieren. Ein Anwendungsbeispiel dieser Funktion ist es, ein Datum zur Sortierung im Ordnernamen zu verwenden und das Datum bei der Darstellung der Galerie auszublenden.

Neue Version der Galerie Erweiterung für Joomla

Sonntag, 27 Januar 2013 01:15

Heute habe ich eine neue Version meiner Galerie Erweiterung für Joomla 2.5 veröffentlicht. Die Galerie steht ab sofort auf webguerilla.net in Version 1.0.0-alpha.3 zum Download bereit. Mit der Veröffentlichung der neuen Version erfolgte auch ein Lizenzwechsel von der GPL hin zur AGPL. Daneben wurde beispielsweise die Performance verbessert, ein paar Fehler behoben und Teile des Codes überarbeitet.

Joomla Galerie Komponente veröffentlicht

Montag, 7 Januar 2013 12:47

Lange ist es her, dass es hier im Blog etwas Neues zu lesen gab – ich war allerdings nicht ganz untätig und habe in den letzten Wochen eine einfache Galerie Komponente für Joomla 2.5 entwickelt, die ich euch hier gerne kurz vorstellen möchte.