Über den Author / Internet / Sicherheit von Open CMS Systemen (Joomla Bugs)

Sicherheit von Open CMS Systemen (Joomla Bugs)

~3 Min. Lesezeit

Es gibt sehr viele verschiedene Open Source CMS Systeme im Internet.
Wordpress ist ein Open Source Projekt für Blogs wie diesen hier, um Artikel zu veröffentlichen. Das WBB ist ein Forensystem, wo sich viele User austauschen und miteinander interagieren können, Joomla ist ein CMS für Webseiteanbieter….

Diese CMS Systeme finden in immer mehr Bereichen ihren Nutzen. Fertige CMS Systeme bieten den nutzen, das die recht kostengünstig zu haben sind, eigentlich keinerlei Entwicklungskosten, ausser vielleicht Designkosten entstehen.
Weiterhin hilft meist eine grosse Community der Weiterentwicklung der eigentlichen Lösung und arbeitet immer neue Addon’s und Features aus. Auch hilft eine grosse Community normalerweise der Sicherheit der Lösungen, da die Fehler schnell von Jemandem entdeckt und behoben werden.

Leider ist dies nicht bei jeder CMS Lösung der Fall. Joomla ist leider genau beim letzten Punkt im Nachtreff. Die Lösung Joomla selbst und auch viele der weit verbreiteten Addon’s beinhalten eine viel zahl von Sicherheitslöchern und täglich kommen mehr dazu.

Wenn man die Anzahl von Sicherheitslöchern mit anderen CMS Systemen vergleicht, stickt Joomla weit von der Masse hinaus, was es für ein sehr unsichere Plattform macht. Dennoch ist es sehr weit verbreitet.

Um dies zu verdeutlichen, habe ich eine Übersicht erstellt, von Sicherheitslücken, welche in den letzten 10 Tagen aufgedeckt wurden!

DatumTitelBeschreibung
15.03.2010joomlaseek-sqlThe Joomla Seek component suffers from a remote SQL injection vulnerability.
15.03.2010joomlaraces-sqlRemote blind SQL injection exploit for the Joomla Races component.
15.03.2010joomlasbsfile-lfiThe Joomla Sbsfile component suffers from a local file inclusion vulnerability.
15.03.2010joomladgreinar-xssThe Joomla D-Greinar component suffers from a cross site scripting vulnerability.
15.03.2010joomlajulia-lfiThe Joomla Juliaportfolio component suffers from a local file inclusion vulnerability.
16.03.2010joomlacomp-sqlThe Joomla Comp component suffers from a remote SQL injection vulnerability.
16.03.2010joomlait-sqlThe Joomla IT component suffers from a remote SQL injection vulnerability.
16.03.2010joomlagm-sqlThe Joomla GM component suffers from a remote blind SQL injection vulnerability.
16.03.2010joomlacream-sqlThe Joomla Cream component suffers from a remote SQL injection vulnerability.
16.03.2010joomlagcalendar-lfiThe Joomla GCalendar component version 2.1.5 suffers from a local file inclusion vulnerability.
16.03.2010joomlaninjarss-lfiThe Joomla Ninja RSS Syndicator component version 1.0.8 suffers from a local file inclusion vulnerability.
16.03.2010joomlabidding-sqlThe Joomla Bidding component suffers from a remote SQL injection vulnerability.
17.03.2010joomlaas-sqlThe Joomla As component suffers from a remote SQL injection vulnerability.
18.03.2010joomlackforms-lfisqlThe Joomla Ckforms component suffers from local file inclusion and remote SQL injection vulnerabilities.
18.03.2010joomlainclude-sqlThe Joomla Include component suffers from a remote SQL injection vulnerability.
19.03.2010joomlaalert-sqlJoomla Alert suffers from a remote SQL injection vulnerability.
22.03.2010joomlajetooltip-lfiThe Joomla JE Tooltip component suffers from a local file inclusion vulnerability.
24.03.2010joomlajresearch-lfiThe Joomla J!Research component suffers from a local file inclusion vulnerability.
24.03.2010joomlacb-sqlThe Joomla CB component suffers from a remote SQL injection vulnerability.
24.03.2010joomlacx-sqlThe Joomla CX component suffers from a remote SQL injection vulnerability.
24.03.2010joomlagds-sqlThe Joomla GDS component suffers from a remote SQL injection vulnerability.
24.03.2010joomlajwmmxtd-rfiThe Joomla Jwmmxtd component suffers from a remote file inclusion vulnerability.
24.03.2010joomlaaml2-sqlThe Joomla AML 2 component suffers from a remote SQL injection vulnerability.
24.03.2010joomlaproperty-lfiThe Joomla Property component suffers from a local file inclusion vulnerability.
24.03.2010joomlawallpapers-sqlThe Joomla Wallpapers component suffers from a remote SQL injection vulnerability.
24.03.2010joomlauniversal-rfiThe Joomla Universal component suffers from a remote file inclusion vulnerability.
25.03.2010joomlasoftware-sqlThe Joomla Software component suffers from a remote SQL injection vulnerability.

Jede dieser Sicherheitslücken ist bestätigt und ein Exploit dazu ist bereits vorhanden. Selbstverständlich liefere ich aber diese Exploits / Proof of concept nicht mit aus.

Warum Joomla mit so viel Bugs zu kämpfen hat, kann ich mir nur dadurch erklären, dass viele Programmierer einfach schlechte Arbeit abliefern, denn an der Art und Weise wie Joomla arbeitet kann es nicht liegen. Ein anderer Aspekt kann natürlich auch sein, das Zwielichtige Personen es auf Joomla abgesehen haben und dadurch kommen mehr Bugs zum Vorschein.

Beim Einsatz von Open CMS Lösungen sollte einem die Sicherheit daher ein wichtiges Thema sein. Auch sollten nicht unbekannte Plugins ohne Source-Kontrolle installiert werden.
Durch die Nutzung von fremder Software kann man sich recht schnell bei einem Update Probleme einhandeln, wo bei eigener Software gegebenenfalls ausgeblieben wäre.

About Stefan

avatar
Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf.Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

PHP Trojaner (Teil 4: Codierte Uploader Infektion)

~2 Min. LesezeitNicht jeder PHP Trojaner kann auf den ersten Blick identifiziert werden, was der …

PHP Trojaner (Teil 3: Spamsender Infektion)

~1 Min. LesezeitSpam ist ein grosses Problem der heutigen Zeit, doch wer verschickt Spam und …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg