Kritische Lücke im beliebten Joomla! CMS-System Aktuelles, Shop-Software

Kritische Lücke im beliebten Joomla! CMS-System

Fehler in der Passwort-Reset Funktion macht das System angreifbar

Laut heise-online kursieren im Internet bereits zahlreiche Anleitungen, wie unter Ausnutzung dieser Lücke die Installation angegriffen werden kann. Die Entwickler haben daher aufgerufen schnellstmöglich auf die Version 1.5.6 upzudaten, oder einen Patch einzuspielen.

Durch einen Fehler bei der Überprüfung des Tokens, lässt sich die Sicherheitsabfrage beim Ändern des Passwortes leicht umgehen. Dabei kann ein Angreifer das Kennwort des ersten vergebenen Users ändern, welcher meistens ein Admin-Accout ist.

Betroffen sind: Alle Versionen mit der Kennung 1.5.x bis einschließlich 1.5.5

Update
Laut den Entwicklern behebt ein Update auf die Version 1.5.6 das Problem.

Patch
Alternativ können Sie mit folgendem Patch das System per Hand absichern. In der Datei /components/com_user/models/reset.php nach global $mainframe auf Zeile 113, fügen Sie folgende Zeilen hinzu:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

Erschienen am 13.08.2008, um 14:38h.

 

 

Copyright © 2024 PHP-Shops.de - Artikel, Berichte und Tutorials | Impressum | Durch Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Informationen finden Sie hier: Datenschutzerklärung