Alert! Kritische Lücke in Joomla! wird aktiv ausgenutzt

Die Entwickler des Content Management Systems Joomla! warnen vor einer kritischen Sicherheitslücke in der Passwort-Reset-Funktion, die auch bereits aktiv ausgenutzt wird, um Web-Seiten zu manipulieren.

Der Sicherungsmechanismus zum Zurücksetzen des Passworts lässt sich durch einen Fehler bei der Überprüfung des Tokens leicht umgehen. Das hat zur Folge, dass ein Angreifer das Passwort des ersten angelegten Accounts ändern kann. Da dies normalerweise ein Administrator-Zugang ist, stehen ihm damit Tür und Tor offen.

Betroffen sind alle Versionen 1.5.x bis einschließlich 1.5.5. Erst 1.5.6 behebt das Problem. Wer seine Installation nicht sofort aktualisieren kann, sollte möglichst schnell den von den Entwicklern angegebenen Workaround umsetzen. Dazu genügt eine kleine Änderung in /components/com_user/models/reset.php. Dort ist in Zeile 113 nach global $mainframe der folgende Code zum Überprüfen der Eingabe einzufügen:

if(strlen($token) != 32) {
 $this->setError(JText::_('INVALID_TOKEN'));
 return false;
}

Es kursieren bereits detaillierte Anleitungen, wie der triviale Angriff durchzuführen ist. Somit ist beim Update äußerste Eile angesagt.

Siehe dazu auch:

• Core - Password Remind Functionality, Sicherheitsnotiz des Joomla Teams

(ju)