Gestern wurde das wohl bis dato wichtigste und kritischste Sicherheitsupdate für Joomla 4 (Update Joomla 4.2.8) veröffentlicht. Es schließt eine kritische Sicherheitslücke die durch die Joomla Webservice-API verursacht wurde. Da diese Webservices meistens nciht genutzt werden, blieb die Sicherheitslücke bis jetzt wohl noch unbemerkt. Wer jetzt noch eine Live-Webseite mit einer Version < 4.2.8 betreibt ist ein offenes Scheunentor für Angreifer und Hacker - den seit Erscheinen des Updates weiß nun jeder über die Sicherheitslücke Bescheid. In diesem Beitrag erfährst du alles was du wissen musst.
Inhaltsverzeichnis
So eine Geheimniskrämerei und Ernsthaftigkeit beim Joomla DEV-Team hat man selten zuvor gesehen. Das Joomla Update 4.2.8 wurde kurzfristig ca. 1 Woche vor Erscheinen am 16.2. (17 Uhr MEZ) auf allen verfügbaren Kanälen angekündigt mit dem Hinweis bzw. der Aufforderung, sofort nach Erscheinen, alle Joomla 4 Installationen zu aktualisieren da man sonst ein großes Sicherheitsrisiko eingeht.
Das Prozedere bei solch einem kritischen Sicherheitsupdate ist in der Tat nicht einfach. Es macht natürlich keinen Sinn die Details zur Sicherheitslücke vor dem Update zu propagieren, da ansonsten alle Joomla 4 Webseiten sehr rasch gehackt worden wären. Die Aufgabe wurde vom Joomla-Community Team rund um David Jardin jedoch vorbildhaft gelöst. Pünktlich um 17 Uhr MEZ wurde das Update veröffentlicht und war über den Joomla-Update Assistenen verfügbar.
Zusätzlich zum eigentlichen Update gibt es noch die Empfehlung die Zugangsadten zu ändern die in der configuration.php hinterlegt sind.
Darunter fallen:
Diese Zugangsdaten waren nämlich wohl in Version 4.00 bis 4.2.7 durch den geschickten Einsatz einiger Joomla Webservice-Plugins, die standardmäßig aktiviert sind, auszulesen. Damit hätte der Angreifer Zugriff auf die Datenbank gehabt und die Webseite lahmlegen oder kompromitieren können.
Nicht unbedingt. Wenn man al sSeitenbetreiber sicher sagen kann, dass diese Sicherheitslücke vor 4.2.8 nicht ausgenutzt wurde und Zugangsdaten abgegriffen wurden, muss man die Zugangsdaten nciht unbedingt ändern.
Doch wie findet man heraus ob diese Daten erfolgreich abgegriffen wurden?
Nicholas K. Dionysopoulos hat dazu einen tollen Blog-Beitrag auf seiner Seite gepostet wie man das heruasfinden kann. (in Englisch)
Auch das ist eine Möglichkeit. Wenn man das machen will, braucht man nur über das Admin-Backend der Joomla-Installation einsteigen, unter System -> Plugins und die Filterfunktion von Plugin-Typ" auf "webservices" einstellen (siehe Bild).
Alle Plugines die nun aufgelistet werden kann man dann deaktivieren.
BEACHTE JEDOCH: Es kann sein, dass zukünftige Joomla Core-Updates oder Drittanbieter-Komponente oder Plugins diese Webservice-Plugins benötigen. Sofern das daer Fall ist, musst du die benötigten Plugins natürlich wieder aktivieren. Auf jeden Fall solltest du dir dessen bewusst sein und die deaktivierten Plugins evtl. wieder deaktivieren.
Nicholas K. Dionysopoulos rät jedenfallsexplizit davon ab die Joomla 4 API komplett zu deaktivieren wiel dies zukünftig zu Problemen führen könnte. Das sollte lediglich eine Sofortmaßnahme sein, falls man aus diveren Gründen die Joomla 4 Webseite gerade nicht auf 4.2.8 aktualisieren kann. Sind die Webservices Plugins alle deaktiviert ist damit auch die entdeckte Sicherheitslücke geschlossen.
Weiterführende Links:
Details zum Security Announcement
Kommentar hinterlassen