Benutzt hier jemand joomla?

Das Update auf Joomla 3.6.4 schließt zwei Sicherheitslücken, die es in sich haben: Durch die eine können sich Angreifer Accounts erstellen, die mit erhöhten Rechten ausgestattet sind – vermutlich Admin-Accounts. Durch die andere Lücke können sich Angreifer selbst dann neue Accounts anlegen, wenn der Admin die Neuregistrierung deaktiviert hat

7 Antworten zu “Benutzt hier jemand joomla?

  1. Vor Jahren habe ich mal einen Blick auf Joomla geworfen. Da wurde in der Installationsanleitung empfohlen, erstmal alles world-writable zu machen. Da brauchte ich nicht mehr weiter zu lesen.
    Danach habe ich mir Drupal angeschaut. Es wurde zwar nicht deutlich gesagt, aber man konnte das System mit vernünftig reduzierten Zugriffsrechten installieren. Der Wartungsaufwand mit den regelmäßigen Updates schien mir dann aber doch zu hoch.
    Seitdem schaue ich mir PHP-basierte Systeme gar nicht mehr an.

    Python-basierte CMS wie Plone waren langsam, DOS-anfällig und hatten auch diverse Schwachstellen. Ruby? Noch langsamer.

    Dann habe ich mir mal Java-basierte Systeme angeschaut. Das Ergebnis war großteils ernüchternd: Kaum ein System, welches Zugangspasswörter gesalzen und gehasht speichert. Wenn, dann aufgrund von Anwender-Initiativen. Da musste der Leidensdruck also auch erst groß genug werden.

    Vielleicht mal was kompiliertes? Hat jemand Erfahrungen mit CppCMS? Zumindest die Grundhaltung scheint da richtig zu sein.

    Mein Eindruck ist, dass das Angebot an stabilen, sicheren CMS so dürftig ist, dass man davon ausgehen muss, dass Zugangsdaten bei Webdiensten in die falschen Hände gelangen. Deswegen 22-Zufallszeichen-Passwörter und Passwort-Manager. Und auch das hilft nur, wenn der Webdienst die Passwörter wemigstens in gehashter Form speichert.

  2. Ja, ich nutze Joomla seit der ersten Stunde (die V1 war noch ein Fork von Mambo) und an so einen Schmarrn von wegen „erstmal alles world-writable zu machen“, daran kann ich mich bei bestem Willen nicht erinnern.

    Achso. Kommt zwar ein Tag zu spät, die Meldung hier, aber trotzdem danke!

    • Ja, ich nutze Joomla seit der ersten Stunde (die V1 war noch ein Fork von Mambo) und an so einen Schmarrn von wegen „erstmal alles world-writable zu machen“, daran kann ich mich bei bestem Willen nicht erinnern.

      Die Anleitung ändert sich. Mittlerweile steht da, dass man Apache-Module wie mod_suphp für die Update-Funktionalität braucht.
      Drupal will stattdessen einen ftp-Zugang mit den entsprechenden Rechten.
      Solange ich damit experimentiert habe, habe ich mich lieber per Kommandozeile um die Updates gekümmert, und die Rechte so gesetzr, dass das CMS seine Code-Basis nicht manipulieren konnte.

      • Was das jetzt mit „world-writable“ zu tun hat, erschließt sich mir nicht wirklich, aber Du wirst schon wissen, warum Du nun unbedingt etwas Schlechtes finden willst.
        SuPHP ist auch nicht nötig, so z.B. tut es auch fastCGI wunderbar (SuPHP ist ohnehin eine lahme Krücke und nicht gerade CPU-schonend. Wer WordPress nutzt und auch traffic hat, weiß ggf. was das bedeutet), wenn man die Joomla-Updatefunktion nutzen will, aber die braucht man auch nicht unbedingt, man kann das auch (wie üblich) händisch über z.B. FTP / SSH, oder lokal machen. Des weiteren hat Joomla selbst eine FTP-Funktion mit eingebaut (wie Du es für Drupal schon anführtest).

        Aber ich wollte mich hier jetzt auch nicht länger über Joomla oder PHP auslassen. In diesem Sinne – nutze was Du willst. Ich bin mit Joomla bisher recht zufrieden. Das mit dem „world-writable“ ist und bleibt aber Quark – das habe ich mit Joomla noch nie gebraucht!

        • Ich will da nix Schlechtes finden. Aber das mit dem world-writable war nunmal die Sache, die mich abgehalten hat. Deswegen habe ich das noch im Gedächtnis.
          Der Teil ist erlebt. Ansonsten kenne ich Joomla gar nicht.
          Freut mich, wenn man das System auch vernünftig betreiben kann.

          • Gedächtnis.
            Ich will Dir nichts unterstellen, aber Du solltest schon wissen, dass man dem, aus dem Gedächtnis erzählten, auch dem eigenem, nicht so sehr vertrauen sollte. Die Hirnforschung hat festgestellt, das alles was aus der Erinnerung kommt immer wieder neu rekonstruiert und neu zusammengebaut und da auch immer mal wieder etwas hinzugefügt oder weggelassen wird. Das wissen auch die Kriminologen, weshalb sie einzelnen Zeugen auch nicht all zu viel glauben.
            Und dass ist auch bei mir so – mit dem Unterschied zu Dir, dass ich nicht einfach so etwas ohne Belege in den Raum stelle und das auch noch ohne einer Erfahrung mit Joomla.

            Im übrigen hast Du das allenfalls gelesen und nicht durch eigene Erfahrung erlebt, den sonst würdest Du Dich ggf. auch daran erinnern, dass „world-writable“ niemals für Joomla nötig war (allenfalls für DAUs), unabhängig davon was Du gelesen haben willst.

            Aber hey – ich will mich mit Dir nicht streiten. Wenn Du meinst, dass das so gewesen ist, wird da wohl schon ein Fünkchen Wahrheit mit dabei sein – wie schon erwähnt, will ich Dir da nichts unterstellen.

            In diesem Sinne – Ein schönes Wochenende noch!

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s