Joomla: Zwei Sicherheitsupdates unterwegs

Vier Sicherheitslücken und einige Bugs adressiert das erste Update auf Joomla 1.5.16. Das zweite fixt Probleme mit bestimmten PHP-Konfigurationen.  Sechs Monate nach der letzten Aktualisierung veröffentlicht das Joomla-Projekt zwei Updates für das CMS. Bei Joomla 1.5.16 handelt es sich um ein Sicherheitsupdate. Die Schwachstellen werden einem mittleren und niedrigen Risikofaktor zugeordnet.Ein Problem betrifft die Session-ID. Eine Website könnte einen Anwender auf die Joomla-Site schicken und einen manipulierten Cookie setzen. Loggt sich der User ins CMS ein, kann die entfernte Website sich mit dem Cookie als der User ausgeben. Ein anderer Schwachpunkt liegt in negativen Werten für Limit und Offset begründet. Gibt ein Angreifer eine URL mit einem negativen Query-Limit oder -Offset ein, gibt PHP eine Reihe von Informationen über das System preis. Im Migrationsskript des Installers werden die Dateitypen nicht geprüft, die geladen werden und Reset Tokens beim Zurücksetzen von Passwörtern werden in Klartext in der Datenbank gespeichert, was in Verbindung mit einer SQL-Injection-Lücke gefährlich werden könnte.

Laut den Entwicklern verursacht Joomla 1.15.16 aber Probleme mit PHP-Versionen vor 5.2 oder in PHP-Konfigurationen mit der globalen Einstellung None für den Session-Handler-Parameter. Anwender, die eine dieser Bedingungen erfüllen, sollten mit dem Update noch etwas warten, denn das Projektteam veröffentlicht heute im Laufe des Tages ein zweites Update auf Joomla 1.5.17, in dem diese Schwierigkeiten beseitigt werden. (ph/phpj)  Joomla