Joomla-Upgrade von Version 2.5 auf 3.3

Freitag, 23 Mai 2014 12:23

Das Ende des offiziellen Supports von Joomla 2.5 am Ende dieses Jahres liegt zwar noch in weiter Ferne, rückt aber langsam immer näher. Grund genug, sich einmal den Upgrade-Vorgang genauer anzusehen. Die positive Nachricht zuerst: Das Joomla-Entwicklungsteam hielt sich an seine Ankündigung und das Upgrade ist deutlich einfacher als der Umstieg von Joomla 1.0 auf 1.5 oder von Joomla 1.5 auf 2.5. Es handelt sich auch wirklich nur um ein Upgrade und keine Migration.

Weiterlesen

Lohnt sich der Umstieg von Joomla 1.5 auf 2.5 oder soll ich lieber auf Joomla 3.5 warten?

Dienstag, 3 Dezember 2013 01:23

Die Frage, ob es sinnvoll ist auf Joomla 3.5 zu warten, ist schwer zu beantworten.

Auf der einen Seite wird Joomla 1.5 schon seit über einem Jahr (September 2012) offiziell nicht mehr unterstützt und dürfte einige öffentlich bekannte Sicherheitslücken aufweisen. Eine der öffentlichen Sicherheitslücken ist sehr schwerwiegend und ermöglicht es einem Angreifer, eine Joomla Website komplett zu übernehmen. Daher sollte die Lücke bei jeder Joomla 1.5 Website möglichst schnell durch die Installation eines Patches behoben werden. Der Patch ist auf JoomlaCode ganz unten unter Files erhältlich und kann über den Joomla-Installer installiert werden – sofern aktuell Joomla 1.5.26 eingesetzt wird. Zuvor sollte auf jeden Fall eine Sicherung der Website angelegt werden.

Auf der anderen Seite geht es auch nicht mehr lang bis Joomla 3.5 (voraussichtlich im März 2014) erscheint. Der Umstieg von Joomla 1.5 auf 3.5 dürfte nur unwesentlich aufwändiger sein, als der Umstieg von Joomla 1.5 auf 2.5. Falls jetzt schon auf Joomla 2.5 umgestiegen wird, soll es laut Aussage des Joomla Entwicklerteams allerdings auch relativ einfach möglich sein, später von Joomla 2.5 auf 3.5 zu aktualisieren. Joomla 2.5 könnte man in diesem Fall bis Ende 2014 nutzen, da Joomla 2.5 bis zu diesem Zeitpunkt mit Sicherheitsupdates versorgt wird.

Weiterlesen

Sicherheitslücke im Joomla 1.5.26 Core

Donnerstag, 18 Juli 2013 01:13

Am vergangenen Montag habe ich hier im Blog über eine kryptografische Schwachstelle in allen aktuellen Joomla Versionen berichtet. Der veröffentlichte Exploit kann nur mit den aktuellen Joomla Versionen 2.5.x und 3.1.x verwendet werden, allerdings lässt sich nach dem selben Prinzip auf einfache Weise ein Exploit für Joomla 1.5.26 entwickeln.

Auf Grund dieser Tatsache kann Joomla 1.5.26 aktuell nicht mehr als sicher angesehen werden und ein Update auf eine aktuelle Joomla Version (sobald die Sicherheitslücke in diesen geschlossen wurde) sollte in Erwägung gezogen werden.

Weiterlesen

Kryptografische Schwachstelle in Joomla

Montag, 15 Juli 2013 01:05

Im April 2013 habe ich eine kryptografische Schwachstelle in Joomla entdeckt, welche es unter anderem ermöglicht, das im Remember Me-Cookie gespeicherte Passwort im Klartext auszulesen. Das Cookie kann von einem Angreifer beispielsweise durch eine XSS-Attacke erbeutet werden.

Betroffen von der Schwachstelle sind alle seit Joomla 1.5 veröffentlichten Joomla Versionen. Der beschriebene Exploit wurde für Joomla 2.5 entwickelt, ist mit leichten Modifikationen aber auch für Joomla 1.5 funktionsfähig.

Die Schwachstelle wurde dem Joomla Security Strike Team (JSST) detailiert am 12.05.2013 gemeldet. Als auch nach zweimaliger Nachfrage keine Reaktion kam, wurde die Lücke am 15.06.2013 auf einer Mailing List veröffentlicht. Mittlerweile hat sich jemand aus dem Joomla Entwicklerteam der Schwachstelle angenommen, allerdings ist bis zum heutigen Tag (15.07.2013) noch kein Update verfügbar.

Weiterlesen

PHP: FTPs Memory Leak

Donnerstag, 11 Juli 2013 11:04

PHP LogoBei der Implementierung eines FTPs Clients in PHP habe ich gestern ein problematisches Memory Leak in PHP entdeckt. Das Speicherleck tritt nur bei FTP-Verbindungen über SSL auf. Standard FTP-Verbindungen sind nicht betroffen.

Da bei jedem Aufruf von ftp_get() und ftp_fget() Speicher verloren geht und ich via FTP eine komplette Website sichern wollte, wurde der komplette verfügbare Speicher noch vor Beendigung des Skripts aufgefressen. Neben den get-Funktionen ist auch ftp_login() betroffen.

Weiterlesen

Joomla 3.5 erscheint erst im März 2014

Dienstag, 5 Februar 2013 01:58

Laut einer Bekanntmachung des Joomla Production Leadership Team (PLT) vom Dezember 2012 wird Joomla 3.5 nicht wie bisher geplant im September 2013, sondern erst im März 2014 veröffentlicht. Zudem werden in Zukunft alle Joomla Versionen mit Langzeitsupport für 2 Jahre, statt wie bisher für 1.5 Jahre, von offizieller Seite mit Updates versorgt.

Weiterlesen

Ist Joomla sicher? Eine Übersicht aller entdeckten Sicherheitslücken in Joomla 1.5.

Sonntag, 5 Februar 2012 04:52

Wenn es um die Sicherheit von Joomla geht, wird oft auf das Problem der unsicheren Erweiterungen verwiesen. Der Joomla Kern sei sicher, so sagt man. Da Joomla 1.5 bald das Ende seiner Lebenszeit erreicht, möchte ich die Gelegenheit nutzen, um eine Zusammenfassung der im Laufe der Zeit aufgedeckten kritischen Sicherheitslücken zu veröffentlichen. Auf Grund dieser Daten kann dann ein Rückschluss auf die Sicherheit des Joomla Kerns getroffen werden.

Weiterlesen