Verfügbare Informationen zu "Fehler in Joomla..."
Qualität des Beitrags: Beteiligte Poster: Christian - Dennis Forum: www.ft2d3.online.ms Forenbeschreibung: Forum der Klasse FT2D3 der Fachschule für Wirtschaft, Steinfurt aus dem Unterforum: Team 2 - Technik und Design Antworten: 2 Forum gestartet am: Samstag 22.01.2005 Sprache: deutsch Link zum Originaltopic: Fehler in Joomla... Letzte Antwort: vor 17 Jahren, 9 Monaten, 12 Tagen, 9 Stunden, 6 Minuten
Alle Beiträge und Antworten zu "Fehler in Joomla..."
Re: Fehler in Joomla...
Christian - 14.07.2006, 08:20Fehler in Joomla...
Folgendes ist mir gerade 'über den Weg gelaufen':
----------------------------------------------------------------
Joomla-Erweiterung perForms akut gefährdet
Ein Botnetz-Betreiber nutzt derzeit eine bislang unbekannte Schwachstelle in der Joomla-Erweiterung perForms aus, um auf Joomla-Servern mit der verwundbaren Erweiterung einen IRC-Bot zu installieren. Infizierte Rechner lassen sich an einem laufenden Prozess namens httpdse und einer ausgehenden IRC-Verbindung erkennen. Der ausgenutzte Programmierfehler befindet sich in der PHP-Datei components/com_perform/perform.php. Sie bindet externe Dateien über den globalen Parameter $mosConfig_absolute_path ein, ohne zuvor sicherzustellen, dass er nicht manipuliert wurde. Ein Angreifer kann dadurch unter Umständen beliebigen PHP-Schadcode nachladen, wenn der Webserver mit register_globals=on läuft. Das Botnetz nutzt die Suchmaschine Google, um nach weiteren potenziellen Opfern zu suchen. Es umfasst derzeit rund 100 kompromittierte Server und wächst weiter.
Eine vergleichbare Schwachstelle wurde erst kürzlich in der Erweiterung Galleria bekannt. Möglicherweise ist sie auch in anderen Modulen zu finden. Den Joomla-Entwicklern ist die Problematik mit löchrigen Erweiterungen jedoch schon bekannt. Sie empfehlen allen Joomla-Betreibern, die PHP-Dateien ihrer Erweiterungen zu überprüfen. Diese sollten zu Beginn einer Zeile in der Form
defined( '_VALID_MOS' ) or die( 'Direct Access not allowed.' );
enthalten, die gegebenenfalls nachgerüstet werden sollte. Die Abfrage schützt die Skripte vor einem direktem Aufruf, wie es für die meisten Exploits notwendig ist. Ebenfalls ist es unbedingt ratsam, einen PHP-Webserver mit register_globals=off zu betreiben. Diese Einstellung in der php.ini schützt vor einem großen Teil der bekannten und unbekannten Schwachstellen in PHP-Skripten.
-----------------------------------------------------------------------
Könnt Ihr das bei uns so einstellen, das unsere Seite nicht zur Virenschleuder werden kann? 8)
Re: Fehler in Joomla...
Dennis - 14.07.2006, 17:29
Hallo Christian!
Nun ich kann dich beruhigen: Wir verwenden diese zusätzliche Komponente bislang nicht. Folglich trifft uns dieses Sicherheitsloch nicht.
Die betroffene Komponente ist ein Modul zum chatten im IRC Netz soweit ich weiß. Da wir unsere Schulseite um diese Funktion sicherlich nicht erweitern wollen können wir diese Meldung getrost ignorieren. :wink:
Gruß
Dennis
P.S.:
Bitte beim nächsten Mal eine Überschrift nehmen die mein Herz nicht in die Hose rutschen läßt! :wink:
Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Weitere Beiträge aus dem Forum www.ft2d3.online.ms
Nützliche Features - gepostet von Alexander am Donnerstag 30.03.2006
"Tagebuch" - gepostet von Christi am Samstag 08.04.2006
Geschafft! - gepostet von Christian am Freitag 01.06.2007
Buttons mit Flash MX erstellen - gepostet von Christian am Montag 12.12.2005
Recht - gepostet von Jenny am Dienstag 26.09.2006
Ähnliche Beiträge wie "Fehler in Joomla..."
Fehler oder notwendige Änderungen auf der Hompage - Christoph Weikl (Dienstag 09.05.2006)
kleiner fehler? - deadenddreaming (Dienstag 02.05.2006)
Fehler - unstopable (Freitag 14.07.2006)
Fehler!!! - administrator (Montag 01.10.2007)
Muss man bei eigenen Fehler selbst zahlen? - Cheryn Light (Donnerstag 05.07.2007)
Fehler beim Builden - lanzet3 (Samstag 19.06.2004)
Fehler im Projekt - andreasw (Mittwoch 30.11.2005)
The Frida and Agnetha meta-list (list of lists) - Emmanuelle (Sonntag 01.08.2010)
Fehler - Geigi (Dienstag 17.07.2007)
Fehler - Sarita (Freitag 22.06.2007)