Martes, 24 Febrero 2009 09:35

Sicherheitslücke ermöglicht Angriffe

warnungMit der bekannt gewordenen Sicherheitslücke in der Joomla!-Version 1.5.8 können Angreifer per Verzeichniswechselangriff beliebige Dateien einsehen.

Da der Code der 1.5.x gerade eingefroren wurde, kann man davon ausgehen, dass in den nächsten Tagen ein Update auf die Version 1.5.9 erscheinen wird. Es bleibt jedoch fraglich, ob das bis zum Bekanntwerden der Sicherheitslücke auch berücksichtig wurde, was nicht den Anschein hat.

Das ist auch nicht ganz so schlimm, denn in Joomla! ist nur ein 'connector' dabei. Der eigentliche Editor muss separat installiert werden von hier: http://xstandard.com/

Anforderungen.. http://xstandard.com/en/documentation/xstandard-dev-guide/requirements/

 

Der Editor ist an sich recht schlank und schön. Weil es ein Browser Plugin ist, der beim Client läuft und nicht alles aus dem Web geladen werden muss. Also halb so schlimm.

Published in Sicherheitsmeldungen
Bei der derzeitigen Version des SimpleMachines Forum 1.1.7 ist eine Sicherheitslücke bekannt geworden.
Diese Lücke kann von potentiellen Angreifern genutzt werden, um ein Script einzuschleusen.

Der Hintergrund ist, dass die Anwendung nicht geschlossene "[url]" BBcode Tags nicht richtig verarbeitet. Dadurch können möglicherweise Scripte und HTML Code eingeschleust werden, die im Browser des Benutzers während einer gültigen Session ausgeführt werden können. Sobald der Benutzer während diese Session auf ein verändertes Detail, z.B. einen Link klickt, wird der Code ausgeführt.
Das Problem tritt aber nur dann auf, wenn der Benutzer aktiv auf einen veränderten Link klickt.

Die Sicherheitslücke ist in der Version 1.1.7 erstmalig bekannt geworden. Andere Versionen können ebenfalls betroffen sein.

Lösung: Update auf die Version 1.18 auf der Website von SimpleMachines Forum

Originalmeldung bei Secunia
Published in Neuigkeiten