Thema: Joomla ...

[SiLæncer]

Die Webseite des Content-Management-Systems Joomla wurde gehackt, läuft inzwischen aber wieder normal. Ein Unbekannter hatte unter anderem das Joomla-Logo gegen ein eigenes ausgetauscht. Die Inhalte der Homepage sollen außerdem übergangsweise nicht erreichbar gewesen sein.

Sofort hatte der Webmaster die Log-Dateien gesichert und den gesamten Content neu aufgespielt. Mehr konnte er zunächst nicht tun, weil er unterwegs war und nur sehr eingeschränkt online. Zurück zu Hause, bot sich dem Webmaster aufs Neue ein schauerliches Bild: Der Hacker war immer noch damit beschäftigt die Webseiten zu verschandeln. Betroffen war offenbar der gesamte Server: die Hauptseite, die Developer-Seiten, die Hilfe-Seiten und der Shop. Also hat der Webmaster den Server ganz vom Netz genommen und nach Spuren des Eindringlings gesucht. In den Verzeichnissen des Shops fand der Webmaster Shell-Skripte.

Das Joomla-Team ist immer noch ratlos, durch welche Lücke der Hacker geschlüpft sein könnte. Man schließt nicht aus, dass der falsche Umgang mit der PHP-Option register_globals Tür und Tor geöffnet hat. Auch das Fehlen eines Zugriffschutzes (.htaccess) könnte dem Eindringling dienlich gewesen sein. Bei allem Rätselraten ist man sich sicher, dass die Joomla-Kernkomponenten keine Schuld am Vorfall tragen, ebensowenig der Hoster des Servers. Die Lücke sei irgendwo im Shop-System zu suchen.

Quelle : www.heise.de

[SiLæncer]

Das Sicherheits-Update 1.5.11 des Content-Management-Systems Joomla beseitigt drei Cross-Site-Scripting-Schwachstellen und diverse nicht-sicherheitsrelevante Fehler. Durch die XSS-Lücken können Angreifer JavaScripte in bestimmte Inhalte einschleusen und im Browser eines Opfers in dessen Kontext auf der Seite ausführen. Betroffen sind alle Versionen 1.5.x. Die Entwickler empfehlen in ihrem Bericht dringend, das Update zu installieren.

Siehe dazu auch:

    * Joomla 1.5.11 Security Release Now Available

Quelle : www.heise.de

[SiLæncer]

Die Entwickler des CMS Joomla haben auf eine Sicherheitslücke im TinyMCE-Plug-in TinyBrowser hingewiesen, durch die das Hochladen und Löschen von Dateien auf dem Server ohne Login möglich sein soll. Nähere Angaben machen die Entwickler nicht. Der Fehler ist nur in Version 1.5.12 zu finden. Das Update auf 1.5.13 beseitigt das Problem. Der Hersteller empfiehlt dringend das Update sofort zu installieren.

Darüber hinaus behebt die neue Version eine Schwachstelle in Zusammenhang mit der Mini-Command-Line-Weboberfläche JExec, durch die Angreifer an Informationen über Installationspfade gelangen können. Neben den Schwachstellen haben die Entwickler 26 weitere Fehler korrigiert.

Quelle : www.heise.de

[SiLæncer]

Das Internet Storm Center berichtet über eine große Zahl von Joomla-Sites, die derzeit Schadcode ausliefern und Besucher mit Malware infizieren; auch einige Wordpress-Sites sollen betroffen sein. Das vom BSI betriebene CERT-Bund bestätigt, dass auch hier in Deutschland aktuell derartige Angriffe auf und von Joomla-Servern gesichtet wurden.

Thomas Hungenberg vom CERT-Bund erklärte gegenüber heise Security, dass nach seinen Erkenntnissen die kompromittierten Sites seit einigen Tagen gezielt missbraucht werden, um Rechner über ein Exploit-Kit vor allem mit FakeAV-Software zu infizieren. Dazu wird in die Web-Seiten ein IFrame eingebettet, das zunächst auf ein Sutra Traffic Distribution System zeigt und dann schließlich auf ein Exploit Kit weiterleitet. Die URLs endeten bis vor kurzem wie auch vom ISC beschrieben auf /nighttrend.cgi?8, seit einigen Stunden tauchten aber auch andere URLs wie hxxp://kwydcpkq.qhigh.com/gjgdyrzd77.cgi?8 auf.

Der ganze Artikel

Quelle : www.heise.de