Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.733.931 Produkten

Fabian A. Scherschel 10

Alert Joomla und LDAP: Sicherheitslücke erlaubt das Auslesen von Anmeldedaten

Joomla und LDAP: Sicherheitslücke erlaubt das Auslesen von Anmeldedaten

Bild: RIPS

Wird Joomla in Zusammenhang mit einem LDAP-Server betrieben, können Angreifer Login-Informationen aus der Datenbank auslesen. Das öffnet Tür und Tor für Angriffe auf die Joomla-Installation und unter Umständen weitere Rechner im lokalen Netz.

In der LDAP-Bibliothek des Content Management Systems Joomla wurde eine acht Jahre alte Sicherheitslücke (CVE-2017-14596) entdeckt, die Angreifer dazu missbrauchen können, Anmeldedaten aus dem mit Joomla verbundenen LDAP-Server auszulesen. Das wiederum kann ein Angreifer nutzen, um an ein Admin-Konto der Joomla-Installation zu gelangen und diese so komplett unter seine Kontrolle zu bringen. Betroffen sind alle Joomla-Versionen von 1.5 bis einschließlich Version 3.7.5 – die Entwickler empfehlen ein Update auf die nun erschienene Version 3.8.0. Allerdings sind nur Installationen angreifbar, die mit einem LDAP-Server verbunden sind.

Anzeige

Das Lightweight Directory Access Protocol (LDAP) wird oft dazu verwendet, Software mit Benutzerdaten zu verbinden, die auch im Active Directory eines Windows-Netzwerks zur Anwendung kommen. So können etwa die Nutzer eines internen Firmen-Blogs ihre Windows-Login-Daten aus der Domäne dazu verwenden, sich an der Blog-Software anzumelden. Da diese Art der Installation für öffentlich erreichbare Blogs oft nicht anwendbar ist und die LDAP-Bibliothek außerdem mit Serverdaten versorgt werden muss, bevor sie funktionieren kann, ist diese Funktion in Joomla nach Neuinstallationen erst einmal deaktiviert.

Administratoren, die Joomla in Zusammenhang mit einem LDAP-Server nutzen, sollten die Software auf jeden Fall so schnell wie möglich aktualisieren. Die Sicherheitslücke stellt, auch wenn sie unter Umständen nur im lokalen Netz auftritt, eine Gefahr für die im LDAP gespeicherten Anmeldedaten dar. Ein Angreifer könnte sie nach einem erfolgten Einbruch ins LAN einer Organisation etwa dafür missbrauchen, Zugangsdaten für andere Systeme in dem Netzwerk auszulesen und so Rechner kapern, die weit kritischer als die eigentliche Joomla-Installation sind. Voraussetzung dafür ist allerdings, dass das Opfer sich auch bei der Joomla-Installation angemeldet hat. (fab)

10 Kommentare

Themen:

Anzeige
  1. Sicherheitsupdate: Joomla 3.8.0 schließt LDAP-Lücke

    Sicherheitsupdate: Joomla 3.8.0 schließt LDAP-Lücke

    Ein Fehler in der LDAP-Bibliothek von Joomla könnte dazu führen, dass Angreifer Login-Daten auslesen. Die aktuelle Ausgabe sichert das CMS ab.

  2. Joomla-Sicherheitsupdate: Angreifer könnten 2-Faktor-Authentifizierung umgehen

    Joomla-Sicherheitsupdate: Angreifer könnten 2-Faktor-Authentifizieurng umgehen

    Die Joomla-Entwickler haben drei Sicherheitslücken in der aktuellen Version 3.8.2 geschlossen.

  3. Jetzt patchen: Gefährliche Sicherheitslücke in Joomla

    Jetzt patchen: Gerfährliche Sicherheitslücke in Joomla

    Das Joomla-Team schließt mit Version 3.7.1 eine SQL-Injection-Lücke, die fatale Folgen haben kann. Joomla-Admins sollten zügig reagieren.

  4. Sicherheitslücke im Joomla-Installer: Angreifer können die Kontrolle übernehmen

    Sicherheitslücke im Joomla-Installer: Angreifer können die Kontrolle übernehmen

    Über eine zwölf Jahre alte Lücke in den Install-Routinen des Content Management Systems können Angreifer während der Installation die Software kapern. Das Joomla-Projekt empfiehlt, die CMS-Software schnellstens zu aktualisieren.

  1. Joomla: Die besten Erweiterungen für das Open-Source-CMS

    Joomla Extensions Directory

    Mit Hilfe von Extensions lässt sich der Funktionsumfang des Open-Source-CMS Joomla ganz an die eigenen Bedürfnisse anpassen. c't hat eine Auswahl der praktischsten Erweiterungen zusammengestellt.

  2. Ubuntu LTS: Langzeitpflege gibt es nur für das Wichtigste

    Lücken in LTS-Ubuntu

    In vielen Ubuntu-Installationen findet sich Software mit bekannten Sicherheitslücken. Der Grund: Langzeitpflege versprechen die Ubuntu-Macher nur für einen kleinen Teil des Software-Angebots. Einige populäre Anwendungen werden überhaupt nicht gepflegt.

  3. Netzwerkdrucker absichern - so geht's

    Netzwerkdrucker sind eine praktische Hilfe in jedem Büro. Doch sie können auch ein Sicherheitsrisiko darstellen!

  1. Big Data: Wie die Erde war und werden könnte

    Planet Erde - Wie er war und werden könnte

    EarthTime zeigt, wie sich die Erde in den letzten 30 Jahren verändert hat und wie es weitergehen könnte, sollte die Menschheit unachtsam sein. Ein Big-Data-Projekt mit Videospiel-Technologie.

  2. Luftfahrtmesse ILA wirft Blick auf die Zukunft des Fliegens

    Airbus von vorne

    Der Hauptstadtflughafen BER öffnet diese Woche für die ILA. Die Luft- und Raumfahrtindustrie stellt ihre Neuheiten vor. Besucher erwartet neben einem elektrisch betriebenen Senkrechtstarter auch die größte Raumfahrtausstellung Europas.

  3. Erste Ausfahrt: Mercedes A 200

    Mercedes A-Klasse

    Die vierte A-Klasse ist ein hervorragendes Auto geworden, wie eine erste Ausfahrt zeigt. Eindrucksvoll ist der Vorsprung im Bereich Infotainment. Ein Modell für die breite Masse ist es aber nicht, denn Mercedes langt selbst für Kleinigkeiten heftig zu

  4. Batteriesystem und Ladestrategie beim Audi e-tron

    Audi e-tron

    Der erste rein elektrische Audi hat eine Batterie mit großer Kapazität. Und er kann sehr schnell laden. Wie das Konzept im Detail funktioniert, haben die Ingenieure des e-tron jetzt in einem Workshop erklärt: Das unausgesprochene Ziel ist, einen neuen Maßstab zu setzen und Tesla zu übertreffen

Anzeige