Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Joomla! >= 1.5.0
Joomla! <= 3.4.5 Betroffene Plattformen: Joomla! Mehrere Schwachstellen in Joomla! bis einschließlich Version 3.4.5 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Einschleusen und Ausführen beliebiger Befehle, den unerlaubten Zugriff auf Dateien und die Durchführung von Cross-Site-Request-Forgery-Angriffen. Der Hersteller veröffentlicht die Version 3.4.6 als Sicherheitsupdate. Insbesondere die Schwachstelle, die das Ausführen beliebigen Programmcodes ermöglicht, ist bekannt und wird bereits ausgenutzt. Das Sicherheitsupdate sollte deshalb zügig eingespielt werden. Patch: Joomla! Download-Seite https://www.joomla.org/download.html

Patch:

Joomla! Developer Network – Security Advisory

https://developer.joomla.org/security-centre.html

Patch:

Joomla! Download-Seite für EOL Versionen

https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions

CVE-2015-8565: Schwachstelle in Joomla! ermöglicht den unerlaubten Zugriff
auf Dateien

Eine Schwachstelle in Joomla! von Version 3.2.0 bis einschließlich 3.4.5
beruht auf der unzureichenden Filterung von Anfragedaten (Request Data). Ein
entfernter, nicht authentifizierter Angreifer kann die Schwachstelle für
einen Directory Traversal-Angriff ausnutzen.

CVE-2015-8564: Schwachstelle in Joomla! ermöglicht den unerlaubten Zugriff
auf Dateien

Eine Schwachstelle in Joomla! von Version 3.4.0 bis einschließlich 3.4.5
beruht auf der unvollständigen Bereinigung von Eingabedaten, die aus einer
XML Installationsdatei aus einem Eweiterungs-Pakete-Archiv eingelesen wird.
Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle für
einen Directory Traversal-Angriff ausnutzen.

CVE-2015-8563: Schwachstelle in Joomla! ermöglicht
Cross-Site-Request-Forgery-Angriff

Der Schutz vor Cross-Site-Request-Forgery (CSRF)-Angriffen in den
‘com_templates’ in Joomla! von Version 3.2.0 bis 3.4.5 einschließlich ist
nicht ausreichend. Ein entfernter, nicht authentifizierter Angreifer kann
aufgrund der unzureichenden Schutzmechanismen CSRF-Angriffe durchführen.

CVE-2015-8562: Schwachstelle in Joomla! ermöglicht das Ausführen beliebigen
Programmcodes

In Joomla! existiert eine Schwachstelle von Version 1.5.0 bis einschließlich
Version 3.4.5, die auf der unzureichenden Filterung von Sitzungsdaten beim
Speichern in die Datenbank beruht. Ein entfernter, nicht authentifizierter
Angreifer kann die Schwachstelle ausnutzen, um beliebigen Programmcode
einzuschleusen und zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1935/

Joomla! Download-Seite:
https://www.joomla.org/download.html

Joomla! Developer Network – Security Advisory :
https://developer.joomla.org/security-centre.html

Joomla! Download-Seite für EOL Versionen:
https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions

Heise Security: Joomla-Version 3.4.6 stopft kritische Sicherheitslücke:
http://www.heise.de/security/meldung/Joomla-Version-3-4-6-stopft-kritische-Sicherheitsluecke-3043699.html

Schwachstelle CVE-2015-8562 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8562

Schwachstelle CVE-2015-8563 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8563

Schwachstelle CVE-2015-8564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8564

Schwachstelle CVE-2015-8565 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8565

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.