Joomla 3.4: Finaler Fix einer PHP-Sicherheitslücke
Kurz notiert: Joomla veröffentlichte vor kurzem noch das Sicherheitsupdate auf 3.4.6 (wir berichteten) und schloss damit eine Sicherheitslücke, die ihre Ursache in PHP hatte. Nun folgt quasi der Fix vom Fix, hat man doch festgestellt, dass Version 3.4.6 nun ein anderes Angriffsszenario ermöglicht. Resultat ist die nun frisch veröffentlichte Version 3.4.7, die laut Angaben von Joomla einen „finalen Workaround“ für das neu entdeckte Problem liefert und den Joomla 3.4-Stamm wieder als sicher deklariert – ob ein Workaround nun ein Fix ist, steht indes auf einem anderen Blatt. Ganz banal ist die Lücke wohl nicht, wendet man sich auch in der offiziellen Meldung direkt an Webseitenbetreiber, Hoster und Webagenturen.
Für manche vielleicht noch Hilfreich zu Wissen: Weil der Bug so gravierend ist, wurde für Joomla 1.5 sowie Joomla 2.5 trotz EOL (end of life), noch ein Hotfix veröffentlicht.
Vorhandene J1.5 + J2.5 Installationen sollten ebenfalls möglichst umgehend upgedatet werden!
Beste Grüße
Martin
Irgendwie steig ich da nicht ganz durch…hab noch ein paar 1.5 und auch 2.5 Installationen die ich updaten möchte/muß. Was muß ich den jetzt wie updaten? Kann mir da jemand was Licht ins Dunkel bringen.
Für Joomla 1.5 gibt es einmal den SessionFix15v2 und einmal den SessionHardening15v1…beide enthalten die gleiche Ziel Datei seesion.php…Welchen Fix muß man den anwenden und warum gibt es zwei. Was ist der Unterschied?
Zudem gibt es dann auch noch die uploadfix15v3. Ist die für alle Versionen gültig? Einfach in joomla 1.5 drüber bügeln?
Die Dateien bekommt ihr hier:
https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
Wenn Du Updates kumulierst, entpackst Du zuerst das chronologisch älteste Update in einen Ordner. Dann der Reihenfolge von alt nach jung, die anderen Updates in den selben Ordner. Vorhandene Dateien werden überschrieben.
Das was am Schluß übrig bleibt, schiebst Du auf den Webserver.
Alles was 15 im Dateinamen hat ist für Joomla 1.5
Alles was 25 im Dateinamen hat, ist für Joomla 2.5
Wenn Du den Link den Du gepostet hast in Ruhe durchließt, erschließt sich aber auch von selbst welches Hotfix für welche Version ist.
Die Antwort warum es zwei Fixes gibt, erhältst Du wenn Du den Beitrag oben ließt oder das Statement vom Joomla Team.
ok danke…d.h der uploadfix15v3 ist nur für joomla 1.5.x. Dachte der sei auch für 2.5.x