BürgerCERT warnt vor Sicherheitslücke
Banner zur Stellungnahme zur Sicherheitslücke in Joomla 3.6.5

BürgerCERT, das Bundesamt für Sicherheit in der Informationstechnik, gab vor kurzem eine Warnung über eine Sicherheitslücke im Joomla! System heraus. Wir möchten Sie darüber aufklären, für wen diese Sicherheitslücke eine Gefahr darstellt.

Wenn jemand die aktuelle Sicherheitslücke ausnützen möchte, um eine Jooma! Webseite anzugreifen, muss er die Zugriffsberechtigung eines Administrators besitzen. Wir weisen darauf hin, dass jeder Nutzer mit Administationsrechten die Möglichkeit besitzt, die Webseite anzugreifen.

Nur wenn sehr spezifische und seltene Einstellungen auf dem Server vorhanden sind, kann die Sicherheit der Webseite gefährtet sein. Das Setup des Servers müsste es erlauben, dass Dateien mit alternativen Endungen (z.B. phpt, phtml) als PHP ausgeführt werden. Es ist momentan selten, dass Hoster diese Einstellung auf dem Server zulassen, da viele dieser Dateiendungen seit Jahren nicht mehr in Gebrauch sind.

Wir stufen diese Sicherheitlücke als mögliches Risiko ein, das mit sehr geringer Wahrscheinlichkeit auftreten kann.