Wegen einer sehr schwerwiegenden Sicherheitslücke, wurde gestern von den Joomla-Entwicklern das Sicherheitsupdate Joomla 1.5.6 [Vusani] veröffentlicht, welches man so schnell wie möglich einspielen sollte. Betroffen davon sind alle bisher erschienen Joomla 1.5-Versionen (1.5.0 – 1.5.5).
Die Lücke betrifft die Passwort-Reset-Funktion, die laut diversen Meldungen schon ausgenutzt wird, um Seiten zu manipulieren. Durch den Fehler im Sicherungsmechanismus kann ein Angreifer das Passwort des ersten angelegten Kontos ändern. Da dieses das Administratorkonto ist, hat der Angreifer vollen Zugriff auf die Joomla-Installation.
Wer nicht sofort seine Installation updatet, kann auch mit einer kleinen Änderung im Code die Lücke schließen. Sie dazu den Artikel Password Remind Functionality auf Joomla.org.
