© 2023

Gestern wurde das wohl bis dato wichtigste und kritischste Sicherheitsupdate für Joomla 4 (Update Joomla 4.2.8) veröffentlicht. Es schließt eine kritische Sicherheitslücke die durch die Joomla Webservice-API verursacht wurde. Da diese Webservices meistens nciht genutzt werden, blieb die Sicherheitslücke bis jetzt wohl noch unbemerkt. Wer jetzt noch eine Live-Webseite mit einer Version < 4.2.8 betreibt ist ein offenes Scheunentor für Angreifer und Hacker - den seit Erscheinen des Updates weiß nun jeder über die Sicherheitslücke Bescheid. In diesem Beitrag erfährst du alles was du wissen musst.

So eine Geheimniskrämerei und Ernsthaftigkeit beim Joomla DEV-Team hat man selten zuvor gesehen. Das Joomla Update 4.2.8 wurde  kurzfristig ca. 1 Woche vor Erscheinen am 16.2. (17 Uhr MEZ) auf allen verfügbaren Kanälen angekündigt mit dem Hinweis bzw. der Aufforderung, sofort nach Erscheinen, alle Joomla 4 Installationen zu aktualisieren da man sonst ein großes Sicherheitsrisiko eingeht.

Joomla Update 4.2.8

Das Prozedere bei solch einem kritischen Sicherheitsupdate ist in der Tat nicht einfach. Es macht natürlich keinen Sinn die Details zur Sicherheitslücke vor dem Update zu propagieren, da ansonsten alle Joomla 4 Webseiten sehr rasch gehackt worden wären. Die Aufgabe wurde vom Joomla-Community Team rund um David Jardin jedoch vorbildhaft gelöst. Pünktlich um 17 Uhr MEZ wurde das Update veröffentlicht und war über den Joomla-Update Assistenen verfügbar.

Zugangsdaten ändern

Zusätzlich zum eigentlichen Update gibt es noch die Empfehlung die Zugangsadten zu ändern die in der configuration.php hinterlegt sind.
Darunter fallen:

  • Datenbank
  • SMTP
  • Redis
  • HTTP-Proxy

Diese Zugangsdaten waren nämlich wohl in Version 4.00 bis 4.2.7 durch den geschickten Einsatz einiger Joomla Webservice-Plugins, die standardmäßig aktiviert sind, auszulesen. Damit hätte der Angreifer Zugriff auf die Datenbank gehabt und die Webseite lahmlegen oder kompromitieren können.

Muss ich die Zugangsdaten ändern um sicher zu sein

Nicht unbedingt. Wenn man al sSeitenbetreiber sicher sagen kann, dass diese Sicherheitslücke vor 4.2.8 nicht ausgenutzt wurde und Zugangsdaten abgegriffen wurden, muss man die Zugangsdaten nciht unbedingt ändern.
Doch wie findet man heraus ob diese Daten erfolgreich abgegriffen wurden?
Nicholas K. Dionysopoulos hat dazu einen tollen Blog-Beitrag auf seiner Seite gepostet wie man das heruasfinden kann. (in Englisch)

Warum nicht einfach alle Webservices Plugins deaktivieren?

Auch das ist eine Möglichkeit. Wenn man das machen will, braucht man nur über das Admin-Backend der Joomla-Installation einsteigen, unter System -> Plugins und die Filterfunktion von Plugin-Typ" auf "webservices" einstellen (siehe Bild).
Alle Plugines die nun aufgelistet werden kann man dann deaktivieren.
BEACHTE JEDOCH: Es kann sein, dass zukünftige Joomla Core-Updates oder Drittanbieter-Komponente oder Plugins diese Webservice-Plugins benötigen. Sofern das daer Fall ist, musst du die benötigten Plugins natürlich wieder aktivieren. Auf jeden Fall solltest du dir dessen bewusst sein und die deaktivierten Plugins evtl. wieder deaktivieren.
Nicholas K. Dionysopoulos rät jedenfallsexplizit  davon ab die Joomla 4 API komplett zu deaktivieren wiel dies zukünftig zu Problemen führen könnte. Das sollte lediglich eine Sofortmaßnahme sein, falls man aus diveren Gründen die Joomla 4 Webseite gerade nicht auf 4.2.8 aktualisieren kann. Sind die Webservices Plugins alle deaktiviert ist damit auch die entdeckte Sicherheitslücke geschlossen.

joomla 4 2 8 security plugins

Weiterführende Links:

Joomla 4.2.8 Update News

Details zum Security Announcement

 

 

Über den Autor
Josef Korntheuer
Autor: Josef KorntheuerWebsite: https://www.rauschfrei-media.at
Josef war von 2008 bis 2020 selbständig als Webdesigner & SEO-Berater in Wien tätig. Seit 2021 arbeitet er als SEO-Projektleiter bei ithelps und erstellt suchmaschinenoptimierte Joomla-Webseiten.

Keine Kommentare zu “Joomla 4.2.8 - kritisches Sicherheitsupdate”

Kommentar hinterlassen

Als Antwort auf Some User