Alle Joomla!1.0 Installationen von Cross Site Scripting betroffen! 06.01.2011
Alle Joomla!1.0 Installationen von Cross Site Scripting betroffen!
Alle Joomla!1.0 Installationen von Cross Site Scripting betroffen!
Wie nun bekannt wurde besteht in der nicht mehr unterstützten Version Joomla!1.0 eine Lücke, mit deren Hilfe es möglich ist, Cross Site Scripting (XSS)-Angriffe auf die Installationen zu führen. Betroffen ist die Core-Komponente com_search.Die/Der User, welche(r) diese Lücke gefunden hatte, benachrichtigte am 03.01.2011 das Joomla Security-Team. Wohl wissend dass Joomla!1.0 im "End of Life" (EOL) Stadium ist und mit KEINEN Patches und Verbesserungen mehr vom Joomla!Core-Team versorgt wird. Heute wurde die Lücke dann von diesen veröffentlicht und kann in einschlägigen Portalen gefunden werden.
Es wird empfohlen, schnellstens zu reagieren und die Seiten mindestens auf Joomla!1.5.22 zu migrieren. Bitte haben Sie Verständniss dafür, dass wir hier keinen Link zu dieser Meldung hinterlegen möchten.
UPDATE2:
Karin Nikolaj hat uns soeben den (inoffiziellen) Patch zukommen
lassen. Hier nun eine kleine Anleitung, wie Sie diesen einspielen (Es
sind nur Kenntnisse mit einem FTP-Programm erforderlich).
Hinweis: Beachten Sie bitte, dass Sie die Datei auf eigene Gefahr
und Verantwortung hochladen und nutzen. Der Patch stammt NICHT von
Joomla.de und Joomla.de kann nicht für Probleme die mit dieser Datei
entstehen könnten, haftbar gemacht werden. An dieser Stelle ein
Dankeschön an P. Jungbluth für diesen Patch.
Laden Sie sich diese DATEI
auf Ihren Computer, entpacken sie diese (so wie sie ist, damit die
Ordner-Struktur bestehen bleibt) und laden dieses Verzeichnis einfach in
das Hauptverzeichnis von Joomla und überschreiben Sie die Datei, wenn
Ihr FTP Programm Sie danach fragt.
UPDATE :
Gerald Martin hat eine kleine Liste erstellt, wie Sie der Lücke ein vorläufiges Schnippchen schlagen können. Beachten Sie jetzt schon einmal den Hinweis, das man grundlegende PHP besitzen sollte um die Hinweise befolgen zu können:
Die Joomla! 1.0 Sicherheitslücke (und was man dagegen unternehmen kann)