Die neue Version 1.0.8 des Content-Management-Systems (CMS) Joomla behebt insgesamt 37 sicherheitsrelevante Bugs und mehr als 70 generelle Programmierfehler. Zu zwei der behobenen Sicherheitslücken wurde auf der Mailing-Liste Bugtraq ein Advisory mit Exploits veröffentlicht. Demzufolge sei es aufgrund eines Programmierfehlers in der Datei includes/feedcreator.class.php einem Angreifer übers Netz möglich, mit manipulierten HTML-Anfragen an das Hauptskript index.php beliebig viele Cache-Dateien im Dateisystem des Servers zu erzeugen. Unter Umständen würde dies sowohl die Funktionalität des CMS selbst als auch den allgemeinen Serverbetrieb stören.
Durch diese Lücke kann ein Angreifer auch den vollständigen Dateisystempfad der Joomla-Installation in Erfahrung bringen, was unter Umständen weitere Angriffe ermöglicht oder erleichtert. Die zweite Lücke betrifft eine nicht ordnungsgemäße Verarbeitung einiger HTML-Tags durch die Funktionen zur Verhinderung so genannter Cross-Site-Scripting-Angriffe (XSS). Dadurch lasse sich ebenfalls ein Denial-of-Service-Zustand (DoS) herbeiführen. Weitere Details werden hierzu in dem Bugtraq-Posting jedoch nicht genannt.
Darüber hinaus wurden laut Changelog beispielsweise die Sicherheitsrestriktionen beim Zugriff auf nicht-veröffentlichte Inhalte verschärft sowie der administrative Zugang besser abgesichert. Außerdem wurden neben kleineren Bug-Fixes auch diverse Optimierungen für eine höhere Gesamt-Performance des Frontends durchgeführt. Die Entwickler empfehlen allen Nutzern dringend ein Upgrade auf die neue Version.
Link zum Update: hier
Quelle: heise.de
