Wichtige Information für alle Benutzer des Community Builders. Wie die Entwickler Gestern mitteilten wurde in allen CommunityBuilder - Versionen bis zur Version 1.1 eine schwerwiegende Sicherheistlücke aufgedeckt. Die Entwickler raten allen CommunityBuilder Nutzern unbedingt und schnellstmöglich auf die neueste Version 1.2.1 upzudaten. Es handelt sich bei der Lücke um ein Sicherheitsrisiko der höchsten Stufe.

Gestern wurde ich per Mail vom Joomla! Deutschland e.V. über eine Gewinnspiel-Aktion informiert. Wie auch auf der deutschen Joomla! Landesseite zu lesen ist, handelt es sich bei der Aktion um die Verlosung 2er Exemplare eines Buches, sie tragen den Titel "Das Joomla!-Entwicklerhandbuch" und dürften einigen schon ein Begriff sein. Der Autor des Buches ist niemand geringeres als Alex Kempkens der Entwickler von Joom!fish und Joomla! Core Mitglied.

Bereits gestern Nacht um 24 Uhr lief die Frist ab, die Joomla!-Entwicklern die Möglichkeit gab ihre Erweiterungen welche in der Joomla! Extensions Directory gelistet sind und keine gültige Lizenz in Verbindung mit Joomla! haben, um zu lizenzieren auf eine offene Code-Lizenz. Dieser Aufforderung sind nicht alle Entwickler nachgekommen. Pünktlich zum Ende der Frist wurden darum alle Nicht-GPL-Lizenzierten Erweiterungen aus der Joomla! Extension Directory gelöscht. Dies hat zur folge, dass zum jetzigen Zeitpunkt statt wie vorher ca. 4600 Erweiterungen nur noch 2990 Erweiterungen gelistet und somit auf der Joomla!-Mutterseite zugänglich sind.

Ein Zugang über das Backend auf die Datenbank! Klasse, weil sehr einfach und nicht mehr so klasse, wenn wir an die Sicherheit denken. Die Erweiterung „JoomMyAdmin“ macht das Leben des Admin bequem und gefährlich zugleich. Die Komponente integriert die PHP Applikation phpMyAdmin zur Administration der Datenbank in den Backend-Bereich. Sie setzt voraus, dass der User umfangreiche Vorsichtsmaßnahmen beachtet und durchführt.

Wenn wir uns fragen, wofür die Erweiterung gut ist ,bleiben wir die Antwort schuldig. Natürlich gibt es viele Erweiterungen, deren Nutzen umstritten ist. Bei „JoomMyAdmin“ ist der Nutzen aber nicht nur umstritten, er ist gefährlich. Wer wirklich gute Kenntnisse im Datenbankbereich besitzt, braucht den schnellen Zugang zur Datenbank, zum Beispiel zur Entwicklung. Diejenigen, die diese Kenntnisse haben, sind also Entwickler von Erweiterungen, die aber eher den direkten Zugang über den Browser bevorzugen. Außerdem nutzen Entwickler die Möglichkeit lokal zu arbeiten und zu testen.

Der normale Admin einer Joomla! Webseite legt einmal, wenn er Joomla! installiert, einen Datenbanknamen im MyAdmin Bereich fest und braucht die Datenbank nicht, oder nur sehr selten, zu administrieren. Die Installation und das Eenspielen von allen anderen, datenbankbezogenen Informationen wird von Joomla! und den Joomla!-Erweiterungen automatisch vorgenommen.

Nur wer keinen phpMyAdmin hat, sollte diese Komponente installieren und auch nur dann, wenn er weiß was er tut.

Behutsames Vorgehen sollte erste Priorität genießen.

Download