image

Joomla dicht ernstige lekken in CMS-software

donderdag 22 oktober 2015, 16:41 door Redactie, 4 reacties

De makers van het populaire contentmanagementsysteem (CMS) Joomla hebben vandaag een zeer belangrijke update uitgebracht die ernstige kwetsbaarheden in de software verhelpt en direct moet worden geïnstalleerd. Dat blijkt uit de aankondiging van Joomla 3.4.5.

In totaal verhelpt deze versie op het eerste gezicht drie beveiligingsproblemen, waarvan er één een hoge prioriteit heeft. Het gaat om een SQL Injection-kwetsbaarheid. Verdere details over de impact worden niet gegeven, maar via SQL Injection kunnen aanvallers bijvoorbeeld toegang tot de database krijgen, de website overnemen of kwaadaardige code installeren. Daarnaast blijkt dat het hier eigenlijk om drie verschillende kwetsbaarheden gaat.

Vanwege het probleem hadden de ontwikkelaars van Joomla vorige week al een waarschuwing gegeven dat het hier om een zeer belangrijke update gaat. Ze herhalen nu dat webmasters de update direct moeten installeren. Joomla 3.4.5 bevat alleen beveiligingsupdates en geen verdere aanpassingen ten opzichte van Joomla 3.4.4.

Reacties (4)
22-10-2015, 17:57 door GasolineNL
Vanmiddag kwam de patch beschikbaar. Binnen een uur alle klantensites met joomla 3.x geupdate. Ging zonder enige hikups. Blij mee. Klopt dat de patch alleen maar beveiligings updates bevatte en geen andere zaken. Slim gedaan nu waren er, zoals het zich laat aan zien, geen problemen en loopt het allemaal op rolletjes. Strakke actie van die Joomla ontwikkelaars. En erg goed dat ze dit van te voren aangekondigt hadden zodat het goed in te plannen was. #joomlaforever
22-10-2015, 18:29 door Anoniem
"Strakke actie van die Joomla ontwikkelaars. En erg goed dat ze dit van te voren aangekondigt hadden zodat het goed in te plannen was."

Als er NU nog SQL injection mogelijkheden uit hun code komen dan moeten ze wel incompetent zijn!
Blij dat ik geen Joomla gebruik...
25-10-2015, 12:26 door Anoniem
Dit systeem is echt lek als een mandje, als je als website bouwer nog steeds dit framework gebruikt en elke dag checkt of er updates zijn (7 dagen in de week) doe je toch echt iets verkeerd.
26-10-2015, 14:13 door Anoniem
Door Anoniem: Dit systeem is echt lek als een mandje, als je als website bouwer nog steeds dit framework gebruikt en elke dag checkt of er updates zijn (7 dagen in de week) doe je toch echt iets verkeerd.
Het is duidelijk dat bovenstaande reactie is geschreven door iemand die weinig verstand heeft van het cms Joomla!.
Het lek welke vorige week is gedicht was het 2e grote lek sinds Joomla tien jaar geleden is begonnen. Daarnaast zijn er nog 3 minder grote leks geweest.
De exploit van vorige week werkt overigens alleen als je bent ingelogd in het backend van Joomla! (het beheerscherm dus). Alleen dan kan men in de versie 3.2 t/m 3.4.4 inbreken en bij je database komen. Websites zijn dus niet op voorhand allemaal zo maar te hacken in dit geval.
NB: er is geen enkele reden om 7 dagen in de week te checken of er updates zijn. Dan doe je echt iets verkeerd inderdaad. Of bedoeld de anonieme schrijver van 25 oktober dat niet .....
Joomla! is een prima cms met enthousiaste en deskundige ontwikkelaars. Alle software kampt wel eens met beveilingsproblemen. Of dat nu open source (zoals browsers, WordPress, Drupal) of betaalde Windows applicaties zijn .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.