Benutzt hier jemand „joomla“?

An independent vulnerability laboratory researcher discovered a remote sql injection vulnerability in the official Joomla com_content v1.5 CMS web-application

Weia! Und es gibt noch mehr davon!

Für die, die es nicht wissen: „SQL injection“ bedeutet, dass jemand beliebige queries auf eure datenbank loslassen kann, also inhalte auslesen, erzeugen und verändern kann. Zum beispiel, um eure webseit zur spämmschleuder zu machen. Oder auch, um einfach nur ganz destruktiv DROP DATABASE; zu versuchen. Dafür braucht man bei dieser fürchterlichen sicherheitslücke auch keine häckertuhls, sondern es reicht ein webbrauser, mit dem man eine URL aufruft.

Wohl dem, der eine aktuelle, vollständige und geprüfte datensicherung hat!

Und spielt die verdammte aktualisierung ein, sobald sie da ist!

Benutzt hier jemand joomla?

Das Update auf Joomla 3.6.4 schließt zwei Sicherheitslücken, die es in sich haben: Durch die eine können sich Angreifer Accounts erstellen, die mit erhöhten Rechten ausgestattet sind – vermutlich Admin-Accounts. Durch die andere Lücke können sich Angreifer selbst dann neue Accounts anlegen, wenn der Admin die Neuregistrierung deaktiviert hat

Benutzt hier jemand joomla?

Jemand, der eine SQL-injection hinbekommt (was ich im joomla-kern für relativ schwierig halte, aber es gibt leider immer wieder einmal sehr schlecht programmierte plugins), könnte bestehende sessions übernehmen, weil die session-IDs für die cookies im klartext in der datenbank stehen.

So weit ich das abschätze, dürfte dieses problem in gleicher weise in sehr vielen anderen web-anwendungen auftreten, und ich muss zugeben, dass auch ich selbst noch nie an diese angriffsmöglichkeit gedacht habe (aber immer darauf geachtet habe, dass keine SQL-injections und kein XSS möglich sein dürfen). Denn wenn erstmal jemand eine SQL-injection hinbekommen hat, hat man ein richtiges problem. So ein angreifer braucht innerhalb der anwendung keine rechte mehr, sondern kann sich fröhlich auf anderer leute webseits austoben. (XSS kann genau so übel sein.) Von daher halte ich das problem auch nach dem zweiten nachdenken für gar nicht so groß, wie es beim ersten lesen erscheint… aber es ist natürlich ein problem. Allerdings kostet es ordentlich performanz, wenn man bei jedem zugriff einen kryptografischen häsch durchführt, statt es nur beim login für das passwort zu tun. Eine kryptografische häschfunktion ist nun einmal nicht in erster linje dafür da, schnell zu sein, denn eröffnete auch eine brute-force-angriffsmöglichkeit. Dieses problem könnte also gar nicht so leicht zu beheben sein.