Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 10

Alert Joomla und LDAP: Sicherheitslücke erlaubt das Auslesen von Anmeldedaten

Joomla und LDAP: Sicherheitslücke erlaubt das Auslesen von Anmeldedaten

Bild: RIPS

Wird Joomla in Zusammenhang mit einem LDAP-Server betrieben, können Angreifer Login-Informationen aus der Datenbank auslesen. Das öffnet Tür und Tor für Angriffe auf die Joomla-Installation und unter Umständen weitere Rechner im lokalen Netz.

In der LDAP-Bibliothek des Content Management Systems Joomla wurde eine acht Jahre alte Sicherheitslücke (CVE-2017-14596) entdeckt, die Angreifer dazu missbrauchen können, Anmeldedaten aus dem mit Joomla verbundenen LDAP-Server auszulesen. Das wiederum kann ein Angreifer nutzen, um an ein Admin-Konto der Joomla-Installation zu gelangen und diese so komplett unter seine Kontrolle zu bringen. Betroffen sind alle Joomla-Versionen von 1.5 bis einschließlich Version 3.7.5 – die Entwickler empfehlen ein Update auf die nun erschienene Version 3.8.0. Allerdings sind nur Installationen angreifbar, die mit einem LDAP-Server verbunden sind.

Das Lightweight Directory Access Protocol (LDAP) wird oft dazu verwendet, Software mit Benutzerdaten zu verbinden, die auch im Active Directory eines Windows-Netzwerks zur Anwendung kommen. So können etwa die Nutzer eines internen Firmen-Blogs ihre Windows-Login-Daten aus der Domäne dazu verwenden, sich an der Blog-Software anzumelden. Da diese Art der Installation für öffentlich erreichbare Blogs oft nicht anwendbar ist und die LDAP-Bibliothek außerdem mit Serverdaten versorgt werden muss, bevor sie funktionieren kann, ist diese Funktion in Joomla nach Neuinstallationen erst einmal deaktiviert.

Administratoren, die Joomla in Zusammenhang mit einem LDAP-Server nutzen, sollten die Software auf jeden Fall so schnell wie möglich aktualisieren. Die Sicherheitslücke stellt, auch wenn sie unter Umständen nur im lokalen Netz auftritt, eine Gefahr für die im LDAP gespeicherten Anmeldedaten dar. Ein Angreifer könnte sie nach einem erfolgten Einbruch ins LAN einer Organisation etwa dafür missbrauchen, Zugangsdaten für andere Systeme in dem Netzwerk auszulesen und so Rechner kapern, die weit kritischer als die eigentliche Joomla-Installation sind. Voraussetzung dafür ist allerdings, dass das Opfer sich auch bei der Joomla-Installation angemeldet hat. (fab)

10 Kommentare

Themen:

Anzeige
  1. Sicherheitsupdate: Joomla 3.8.0 schließt LDAP-Lücke

    Sicherheitsupdate: Joomla 3.8.0 schließt LDAP-Lücke

    Ein Fehler in der LDAP-Bibliothek von Joomla könnte dazu führen, dass Angreifer Login-Daten auslesen. Die aktuelle Ausgabe sichert das CMS ab.

  2. Joomla-Sicherheitsupdate: Angreifer könnten 2-Faktor-Authentifizierung umgehen

    Joomla-Sicherheitsupdate: Angreifer könnten 2-Faktor-Authentifizieurng umgehen

    Die Joomla-Entwickler haben drei Sicherheitslücken in der aktuellen Version 3.8.2 geschlossen.

  3. Jetzt patchen: Gefährliche Sicherheitslücke in Joomla

    Jetzt patchen: Gerfährliche Sicherheitslücke in Joomla

    Das Joomla-Team schließt mit Version 3.7.1 eine SQL-Injection-Lücke, die fatale Folgen haben kann. Joomla-Admins sollten zügig reagieren.

  4. Sicherheitslücke im Joomla-Installer: Angreifer können die Kontrolle übernehmen

    Sicherheitslücke im Joomla-Installer: Angreifer können die Kontrolle übernehmen

    Über eine zwölf Jahre alte Lücke in den Install-Routinen des Content Management Systems können Angreifer während der Installation die Software kapern. Das Joomla-Projekt empfiehlt, die CMS-Software schnellstens zu aktualisieren.

  1. Joomla: Die besten Erweiterungen für das Open-Source-CMS

    Joomla Extensions Directory

    Mit Hilfe von Extensions lässt sich der Funktionsumfang des Open-Source-CMS Joomla ganz an die eigenen Bedürfnisse anpassen. c't hat eine Auswahl der praktischsten Erweiterungen zusammengestellt.

  2. Ubuntu LTS: Langzeitpflege gibt es nur für das Wichtigste

    Lücken in LTS-Ubuntu

    In vielen Ubuntu-Installationen findet sich Software mit bekannten Sicherheitslücken. Der Grund: Langzeitpflege versprechen die Ubuntu-Macher nur für einen kleinen Teil des Software-Angebots. Einige populäre Anwendungen werden überhaupt nicht gepflegt.

  3. Eine Identität für alles mit Keycloak

    Eine Identität für alles mit Keycloak

    Keycloak ist eine Open-Source-Software, die Red Hat als Implementierung von OpenID Connect veröffentlicht hat. Entwickler können sie einfach und flexibel zur Authentisierung für eigene Applikationen verwenden.

  1. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  2. Luftschiff "Airlander 10" bei Havarie beschädigt

    Britisches Luftschiff reißt sich von Haltemast los

    Das Luftschiff "Airlander 10" hat sich von seinem Haltemast losgerissen und ist anschließend unsanft gelandet. Das Ausmaß der Schäden ist noch unklar.

  3. US-Einzelhändler wollen Teslas Elektro-Lastwagen testen

    US-Einzelhändler wollen Teslas Elektro-Lastwagen ausprobieren

    Unmittelbar nach der Vorstellung hat Tesla erste Interessenten für seinen elektrischen Lastwagen gefunden. Analysten trauen der Firma zu, den Markt umzukrempeln, obwohl bereits viele etablierte Konkurrenten in den Startlöchern stehen.

  4. Vodafone schaltet UMTS-Femtozellen ab

    SIM Karte

    Vodafone kündigt Verträge für UMTS-Femtozellen, die in Gebäuden für eine bessere Mobilfunkanbindung sorgen.

Anzeige