Die Joomla! Passwort Reset-Funktion hat eine Sicherheitslücke die aktuell ausgenutzt wird.
Der Mechanismus zum zurücksetzen des Passwortes ermöglicht es das Passwort des ersten Benutzer zu ändern. Dieser ist normalerweise der Super-Administrator-Zugang. Somit kann der Angreifer alles mit dem System machen.
Betroffen sind die Versionen 1.5.x bis 1.5.5. Erst die Version 1.5.6 behebt die kritische Lücke.
Es gibt derzeit 2 Möglichkeiten die Lücke zu schließen. Das sicherste ist die neue Version zu installieren.
Alternativ sollen, laut den Entwicklern, folgende Code-Zeilen in die Datei “/components/com_user/models/reset.php” nach “global $mainframe” in Zeile 113 eingefügt werden.
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}
Da die Lücke aktiv ausgenutzt wird und mittlerweile zahlreiche Anleitungen zum ausnutzen vorhanden sind, sollten die Änderungen schnellst möglich vorgenommen werden.
Nachricht von http://www.service-foren.de
