Die Entwickler des quelloffenen Content Management Systems (CMS) Joomla haben ein dringendes Update für ihr CMS veröffentlicht.

Mit Joomla der neuen Version 3.4.5 stopfen sie drei Lücken, darunter auch eine kritische SQL-Injection-Lücke, die es Angreifern offenbar erlaubt, Joomla-Installationen zu übernehmen.

Das betrifft nur die Joomla-Versionen 3.2 bis einschließlich 3.4.4. Ältere Versionen des CMS sind nicht anfällig. Die Entwickler empfehlen allen Benutzern, das Update auf Version 3.4.5 möglichst bald einzuspielen.

Die damit zu schließende SQL-Injection-Lücke wird unter den CVE-Nummern CVE-2015-7297, CVE-2015-7857 und CVE-2015-7858 geführt. Die Sicherheitslücke wurde am 15. Oktober vertraulich an die Entwickler gemeldet und wird jetzt genau eine Woche danach geschlossen.

Zwei weitere Probleme, die ebenfalls mit dem Update beseitigt werden, erlauben Joomla-Nutzern ohne entsprechende Berechtigungen den Zugriff auf versteckte Inhalte. Es handelt sich dabei um Fehler bei der Überprüfung von Zugangskontrolllisten (ACLs).

Eigentlich ist das ein Problem mit dem NHE(Nicht Hier Entstanden)-Syndrom der Joomla-Entwickler. Würden die Jungs endlich konsequent statt ihres (nicht besonders gut) selbstgebastelten Datenbanklayers das in PHP eingebaute PDO mit seinem Escaping für den Datenbankzugriff nutzen, würden solche Probleme nicht mehr aufkommen.

Ich hoffe, dass das spätestens mit der nächsten Major-Version umgestellt wird…