Wichtiges Joomla-Update auf Version 3.4.5

Dienstag, 20 Oktober 2015 02:31

Das Joomla-Sicherheitsteam hat am vergangenen Freitag angekündigt, dass am kommenden Donnerstag, dem 22. Oktober, um 16 Uhr mitteleuropäischer Zeit ein sehr wichtiges Sicherheitsupdate für Joomla 3 veröffentlicht wird. Dieses Vorgehen ist äusserst ungewöhnlich und lässt darauf schliessen, dass die gefundene Sicherheitslücke sehr kritisch ist. Die offizielle Ankündigung des Updates finden Sie in Englisch auf der offiziellen Joomla-Website.

In einem vergleichbaren Fall beim Content-Managment-System Drupal konnten bereits nach sieben Stunden grossangelegte und automatisierte Angriffswellen beobachtet werden. Bei Drupal wurde die Schliessung der Sicherheitslücke nicht angekündigt und die Kriminellen hatten keine Zeit sich vorzubereiten. Durch die Ankündigung des Joomla-Updates haben nun auch die Kriminellen genügend Zeit, um sich auf Ihre Angriffe vorzubereiten und ich rechne damit, dass die ersten grossen Angriffswellen innerhalb von zwei oder drei Stunden nach der Veröffentlichung des Updates starten.

Alle Joomla-Websites, die am Donnerstag bis spätestens 18 Uhr nicht aktualisiert wurden, sind ab dann in ernsthafter Gefahr gehackt zu werden. Damit sind hohe Risiken für Ihre Besucher verbunden und im schlimmsten Fall kann eine gehackte und durch Kriminelle missbrauchte Website für Sie zu straf- oder zivilrechtlichen Konsequenzen führen.

Ob auch ältere Joomla-Version von der Lücke betroffen sind ist nicht bekannt und wird auch nicht bekannt gegeben. Bei Joomla 1.5 schätze ich die Gefahr als sehr gering ein. Dass Joomla 2.5 betroffen ist, ist durchaus denkbar. Ältere Joomla 3-Versionen sind wahrscheinlich sicher betroffen.

Wartungsvertrag

Auf Grund der Tragweite des Problems und des engen zeitlichen Rahmens kann ich das Update leider nicht für alle Kunden innerhalb der notwendigen Zeitspanne durchführen. Garantieren kann ich die Durchführung nur für Kunden mit einem Wartungsvertrag. Der Abschluss eines Wartungsvertrags mit einer Mindestlaufzeit von 12 Monaten ist noch möglich, falls aktuell zumindest Joomla 3.4.x verwendet wird. Bei Verwendung einer älteren Joomla 3-Version besteht nach Absprache eventuell die Möglichkeit eines Wartungsvertrags. Für Joomla 2.5 kann ich Ihnen aktuell leider keinen Wartungsvertrag anbieten. Nähere Informationen zum Wartungsvertrag finden Sie auf meiner Website.

Update-Anleitung

Falls Sie das Update selbst durchführen möchten, finden Sie auf meiner Website eine ausführliche Anleitung. Falls Sie sich unsicher sind, lesen Sie den Text bitte vollständig und genau durch und erstellen Sie zuvor auf jeden Fall eine Sicherung Ihrer Website. Die Anleitung beschreibt nur ein einfaches Update (z.B. von Joomla 3.4.1 auf 3.4.4) und kein Upgrade (z.B. von Joomla 2.5.x auf 3.4.x).

Handlungsempfehlungen

Falls Sie aktuell Joomla 3 verwenden, sollten Sie bis spätestens Mittwoch-Abend auf die aktuellste Version 3.4.4 aktualisieren und eine vollständige Sicherung Ihrer Website beziehungsweise Ihres Webspaces inklusive aller Datenbanken erstellen. Die Sicherung müssen Sie auf jeden Fall auf Ihren Rechner herunterladen. Am Donnerstag-Mittag sollten Sie dann das Update auf Joomla 3.4.5 zeitnah nach der Veröffentlichung einspielen.

Falls Sie noch Joomla 2.5 einsetzen, ist die Zeit für ein Upgrade auf Joomla 3 ziemlich knapp bemessen. Ich kann diese Woche zeitlich leider keine Upgrades mehr unterbringen. Das Upgrade ist mit einigen Schwierigkeiten verbunden und sollte daher nur von Personen mit dem nötigen Fachwissen durchgeführt werden. Falls Sie keine Möglichkeit mehr haben, auf Joomla 3 zu aktualisieren, würde ich Ihnen empfehlen, am Mittwoch-Abend eine umfangreiche Sicherung Ihres Webspaces und Ihrer Datenbanken zu erstellen. Wichtig ist, dass Sie auch alle Dateien sichern, die nichts direkt mit Joomla zu tun haben. Diese Sicherung müssen Sie dann auf Ihren Computer herunterladen, sodass sie in Sicherheit ist und später gegebenenfalls verwendet werden kann. 

Sollte Joomla 2.5 von der Sicherheitslücke betroffen sein, wird mit etwas Glück zeitnah ein inoffizieller Sicherheitspatch veröffentlicht. Dieser würde dann voraussichtlich die letzte Version der Joomla 2.5-Serie voraussetzen, sodass es empfehlenswert ist, bis Mittwoch-Abend bereits auf Joomla 2.5.28 zu aktualisieren.