Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.685.380 Produkten

Fabian A. Scherschel 10

Alert Joomla und LDAP: Sicherheitslücke erlaubt das Auslesen von Anmeldedaten

Joomla und LDAP: Sicherheitslücke erlaubt das Auslesen von Anmeldedaten

Bild: RIPS

Wird Joomla in Zusammenhang mit einem LDAP-Server betrieben, können Angreifer Login-Informationen aus der Datenbank auslesen. Das öffnet Tür und Tor für Angriffe auf die Joomla-Installation und unter Umständen weitere Rechner im lokalen Netz.

In der LDAP-Bibliothek des Content Management Systems Joomla wurde eine acht Jahre alte Sicherheitslücke (CVE-2017-14596) entdeckt, die Angreifer dazu missbrauchen können, Anmeldedaten aus dem mit Joomla verbundenen LDAP-Server auszulesen. Das wiederum kann ein Angreifer nutzen, um an ein Admin-Konto der Joomla-Installation zu gelangen und diese so komplett unter seine Kontrolle zu bringen. Betroffen sind alle Joomla-Versionen von 1.5 bis einschließlich Version 3.7.5 – die Entwickler empfehlen ein Update auf die nun erschienene Version 3.8.0. Allerdings sind nur Installationen angreifbar, die mit einem LDAP-Server verbunden sind.

Anzeige

Das Lightweight Directory Access Protocol (LDAP) wird oft dazu verwendet, Software mit Benutzerdaten zu verbinden, die auch im Active Directory eines Windows-Netzwerks zur Anwendung kommen. So können etwa die Nutzer eines internen Firmen-Blogs ihre Windows-Login-Daten aus der Domäne dazu verwenden, sich an der Blog-Software anzumelden. Da diese Art der Installation für öffentlich erreichbare Blogs oft nicht anwendbar ist und die LDAP-Bibliothek außerdem mit Serverdaten versorgt werden muss, bevor sie funktionieren kann, ist diese Funktion in Joomla nach Neuinstallationen erst einmal deaktiviert.

Administratoren, die Joomla in Zusammenhang mit einem LDAP-Server nutzen, sollten die Software auf jeden Fall so schnell wie möglich aktualisieren. Die Sicherheitslücke stellt, auch wenn sie unter Umständen nur im lokalen Netz auftritt, eine Gefahr für die im LDAP gespeicherten Anmeldedaten dar. Ein Angreifer könnte sie nach einem erfolgten Einbruch ins LAN einer Organisation etwa dafür missbrauchen, Zugangsdaten für andere Systeme in dem Netzwerk auszulesen und so Rechner kapern, die weit kritischer als die eigentliche Joomla-Installation sind. Voraussetzung dafür ist allerdings, dass das Opfer sich auch bei der Joomla-Installation angemeldet hat. (fab)

10 Kommentare

Themen:

Anzeige
  1. Sicherheitsupdate: Joomla 3.8.0 schließt LDAP-Lücke

    Sicherheitsupdate: Joomla 3.8.0 schließt LDAP-Lücke

    Ein Fehler in der LDAP-Bibliothek von Joomla könnte dazu führen, dass Angreifer Login-Daten auslesen. Die aktuelle Ausgabe sichert das CMS ab.

  2. Joomla-Sicherheitsupdate: Angreifer könnten 2-Faktor-Authentifizierung umgehen

    Joomla-Sicherheitsupdate: Angreifer könnten 2-Faktor-Authentifizieurng umgehen

    Die Joomla-Entwickler haben drei Sicherheitslücken in der aktuellen Version 3.8.2 geschlossen.

  3. Jetzt patchen: Gefährliche Sicherheitslücke in Joomla

    Jetzt patchen: Gerfährliche Sicherheitslücke in Joomla

    Das Joomla-Team schließt mit Version 3.7.1 eine SQL-Injection-Lücke, die fatale Folgen haben kann. Joomla-Admins sollten zügig reagieren.

  4. Sicherheitslücke im Joomla-Installer: Angreifer können die Kontrolle übernehmen

    Sicherheitslücke im Joomla-Installer: Angreifer können die Kontrolle übernehmen

    Über eine zwölf Jahre alte Lücke in den Install-Routinen des Content Management Systems können Angreifer während der Installation die Software kapern. Das Joomla-Projekt empfiehlt, die CMS-Software schnellstens zu aktualisieren.

  1. Joomla: Die besten Erweiterungen für das Open-Source-CMS

    Joomla Extensions Directory

    Mit Hilfe von Extensions lässt sich der Funktionsumfang des Open-Source-CMS Joomla ganz an die eigenen Bedürfnisse anpassen. c't hat eine Auswahl der praktischsten Erweiterungen zusammengestellt.

  2. Ubuntu LTS: Langzeitpflege gibt es nur für das Wichtigste

    Lücken in LTS-Ubuntu

    In vielen Ubuntu-Installationen findet sich Software mit bekannten Sicherheitslücken. Der Grund: Langzeitpflege versprechen die Ubuntu-Macher nur für einen kleinen Teil des Software-Angebots. Einige populäre Anwendungen werden überhaupt nicht gepflegt.

  3. Sicher surfen in öffentlichen WLAN-Netzen

    Wusstest du, dass öffentliche WLAN-Netze alles andere als sicher sind? Wir zeigen dir, wie du sie nutzen kannst, ohne dir Sorgen machen zu müssen.

  1. Afrin: "Besorgt" und scheinheilig wegschauen

    Lieber "keine eigenen Erkenntnisse über den Einsatz von Leopard-Panzern"? Von den Schwierigkeiten der deutschen und der US-Regierung sich einzugestehen, wie wichtig ihnen Erdogan ist und vom weiten Weg der YPG zum Kompromiss mit Damaskus

  2. Next-Gen-Spielegrafik: Unity zeigt Techdemo Book of the Dead

    Echte Next-Gen-Spielegrafik: Unity zeigt Techdemo Book of the Dead

    Eine Gruppe von Unity-Entwicklern hat mit Book of the Dead eine Technikdemo erschaffen, die nur noch beim genauen Hinsehen von der Realität zu unterscheiden ist.

  3. HomePod: Apple bringt Siri-Lautsprecher im Frühjahr nach Deutschland

    HomePod

    Mit Verspätung steigt Apple in den Markt der "smarten" Lautsprecher ein: HomePod kommt Anfang Februar in ersten Ländern für 350 Dollar in den Handel. Wichtige Funktionen will der Hersteller erst per Software-Update nachliefern.

  4. DJI Mavic Air filmt in 4K und umfliegt selbstständig Hindernisse

    DJI Mavic Air geleakt: 4K-Drohne mit 21 Minuten Flugzeit

    Die Quadrocopter-Drohne DJI Mavic Air übernimmt viele Features der Mavic Pro, ist aber deutlich preiswerter. Hindernisse umfliegt sie, ohne dass der Pilot sich darum kümmern müsste.

Anzeige