Stellungnahme zur aktuellen Sicherheitslücke - Dezember 2016

Aktuell wird vor einer Sicherheitslücke im System gewarnt.

Als deutsche Joomla! Community möchten wir zu dieser Sicherheitslücke kurz Stellung nehmen und versichern, dass diese nicht kritisch ist und informieren gleichzeitig darüber, dass sie im nächsten Release behoben sein wird. Denn wenn ein Risiko bekannt ist - und sei es noch so klein - wird es ernst genommen.

Grund zur Stellungnahme ist die Veröffentlichung auf der Plattform BürgerCERT, des Bundesamt für Sicherheit in der Informationstechnik.

Die genannte Sicherheitslücke kann nur mit besonderer Zugriffsberechtigung zur Webseite ausgenutzt werden. 

Der Angreifer müsste Administrator sein. Dabei sollte klar sein, dass ein Nutzer mit Administrationsrechten bereits zahlreiche Möglichkeiten hat, einen Angriff zu platzieren.

Für die Ausnutzung der Sicherheitslücke ist es zudem notwendig, dass die Seite auf einem sehr seltenen Server-Setup installiert ist. Dateien mit alternativen Endungen (z.B. phpt, phtml) müssen die Berechtigung erhalten, als PHP ausgeführt zu werden. In der Regel wird dies von Hostern nicht eingestellt, da die entsprechenden Dateiendungen sehr selten und teils bereits seit Jahren veraltet sind.

Das Joomla! Projekt stuft diese Sicherheitslücke also als mögliches Risiko ein. Die Wahrscheinlichkeit eines Angriffs ist von Parametern abhängig, die nur sehr selten anzutreffen sind.