Nur 10 Tage, nachdem Joomla mit der Version 2.5.2 zwei kritische Sicherheitslücken geschlossen hat, kommt mit Release 2.5.3 ein weiteres sicherheitskritisches Update heraus, das ebenfalls zwei mit „High Priority” gekennzeichnete Schwachstellen beseitigt.
Am 5.3. hatte Joomla mit dem Release 2.5.2 bereits zwei kritische Sicherheitslücken (SQL-Injection bzw. Cross-Site-Scripting) geschlossen. In dem heute vorgelegten Update werden Fehler in der Rechtezuweisung und der Passwort-Erzeugung beseitigt.
Beschreibung der Bugfixes
Die erste Sicherheitslücke betrifft die Joomla Versionen 2.5.2, 2.5.1, 2.5.0 sowie alle 1.7.x und 1.6.x Releases. Das Update beseitigt einen Programmierfehler, durch den sich Benutzer höhere Rechte beschaffen können (Privilege Escalation).
Der zweite Bug sitzt in den Versionen 2.5.2, 2.5.1, 2.5.0, sowie allen 1.7.x und 1.6.x Versionen. Hierbei kann die Funktion zum Zurücksetzen des Passworts durch ungenügende Randomisierung unsichere Resultate erzeugen.
Weitere Informationen
- Announcement von Joomla, vom 15.3.2012: Joomla 2.5.3 Released
- Joomla Security News: [20120303] – Core – Privilege Escalation
- Joomla Security News: [20120304] – Core – Password Change