Joomla-Admins sind derzeit gut beschäftigt. Allein für den 2.5.x-Zweig hatte Joomla bereits am 5.3. (Release 2.5.2) und zuletzt am 15.3. (Release 2.5.3) sicherheitskritische Updates herausgegeben. In der heute freigegebenen Aktualisierung werden Anfälligkeiten gegen Cross-Site-Scripting-Angriffe und ungewollte Datenfreigaben beseitigt. Daneben erhält Joomla drei kleinere neue Features, und insgesamt 157 Programmfehler werden behoben. Sie verteilen sich vorwiegend auf die Kategorien Administration, CMS Libraries, Code Quality, Components, Database, Installation, Javascript, Languages, Modules und Plugins.
Beschreibung der Security-Fixes
In beiden Fällen sind Joomla 2.5.3 und alle früheren 2.5.x Versionen betroffen. Das erste Security-Fix behebt eine Anfälligkeit gegenüber XSS-Angriffen, die durch unzureichende Filterfunktionen entstand. Durch die zweite Schwachstelle können infolge ungenügender Kontrolle von Zugriffsrechten unautorisierte Personen Backend-Informationen sehen, die nicht für sie bestimmt sind. Beide Sicherheitslöcher wurden mit „Severity: low” klassifiziert.
Weitere Informationen
- Announcement von Joomla, vom 2.4.2012: Joomla 2.5.4 Released
- Joomla Security News: [20120307] – Core – Information Disclosure
- Joomla Security News: [20120308] – Core – XSS Vulnerability