Es war nur eine Frage der Zeit bis die erste kritische Sicherheitslücke in Joomla 1.0.x entdeckt werden würde. Und genau so ist es jetzt auch gekommen.

So hat das Team um die "YGN Ethical Hacker Group" eine Schwachstelle veröffentlich von der alle Joomla 1.0.x Installationen, inklusive der letzten Version 1.0.15 betroffen sein sollen.

Konkret handelt es sich um ein Problem mit der Joomla-Suchfunktion "com_search", in die sich per Cross Site Scripting Schadcode übergeben lassen soll. Wie weit diese Möglichkeit bereits aktiv genutzt wird lässt sich schwer abschätzen. Die Lücke selbst soll den Joomla Entwicklern bereits vorab am 03.01. diesen Jahres gemeldet worden sein und wird seit gestern über die einschlägigen Seiten verbreitet.

Da Joomla 1.0.15 allerdings nicht mehr offiziell von den Entwicklern unterstützt wird, bleibt die Frage nach einen möglichen Patch bisher offen. Wie weit die Community an dieser Stelle einspringt, und wann ein solcher Patch zur Verfügung steht, lässt sich aktuell noch nicht sagen.

Als erste Soforthilfe können Anwender das Suchmodul ausblenden, die Verzeichnisse "com_search" im components und administrator/components kurzfristig umbenennen um einen Zugriff, beziehungsweise dessen Nutzung zu unterbinden.

Als langfristige Lösung kommt aber nur die Umstellung auf Joomla 1.5 in Frage um wieder in den Genuss des offiziellen Supports zu kommen.

Quelle: joomla-downloads.de