Sicherheit von Open CMS Systemen (Joomla Bugs)
25.03.2010 | 
Es gibt sehr viele verschiedene Open Source CMS Systeme im Internet.
Wordpress ist ein Open Source Projekt für Blogs wie diesen hier, um Artikel zu veröffentlichen. Das WBB ist ein Forensystem, wo sich viele User austauschen und miteinander interagieren können, Joomla ist ein CMS für Webseiteanbieter….
Diese CMS Systeme finden in immer mehr Bereichen ihren Nutzen. Fertige CMS Systeme bieten den nutzen, das die recht kostengünstig zu haben sind, eigentlich keinerlei Entwicklungskosten, ausser vielleicht Designkosten entstehen.
Weiterhin hilft meist eine grosse Community der Weiterentwicklung der eigentlichen Lösung und arbeitet immer neue Addon’s und Features aus. Auch hilft eine grosse Community normalerweise der Sicherheit der Lösungen, da die Fehler schnell von Jemandem entdeckt und behoben werden.
Leider ist dies nicht bei jeder CMS Lösung der Fall. Joomla ist leider genau beim letzten Punkt im Nachtreff. Die Lösung Joomla selbst und auch viele der weit verbreiteten Addon’s beinhalten eine viel zahl von Sicherheitslöchern und täglich kommen mehr dazu.
Wenn man die Anzahl von Sicherheitslöchern mit anderen CMS Systemen vergleicht, stickt Joomla weit von der Masse hinaus, was es für ein sehr unsichere Plattform macht. Dennoch ist es sehr weit verbreitet.
Um dies zu verdeutlichen, habe ich eine Übersicht erstellt, von Sicherheitslücken, welche in den letzten 10 Tagen aufgedeckt wurden!
| Datum | Titel | Beschreibung |
|---|---|---|
| 15.03.2010 | joomlaseek-sql | The Joomla Seek component suffers from a remote SQL injection vulnerability. |
| 15.03.2010 | joomlaraces-sql | Remote blind SQL injection exploit for the Joomla Races component. |
| 15.03.2010 | joomlasbsfile-lfi | The Joomla Sbsfile component suffers from a local file inclusion vulnerability. |
| 15.03.2010 | joomladgreinar-xss | The Joomla D-Greinar component suffers from a cross site scripting vulnerability. |
| 15.03.2010 | joomlajulia-lfi | The Joomla Juliaportfolio component suffers from a local file inclusion vulnerability. |
| 16.03.2010 | joomlacomp-sql | The Joomla Comp component suffers from a remote SQL injection vulnerability. |
| 16.03.2010 | joomlait-sql | The Joomla IT component suffers from a remote SQL injection vulnerability. |
| 16.03.2010 | joomlagm-sql | The Joomla GM component suffers from a remote blind SQL injection vulnerability. |
| 16.03.2010 | joomlacream-sql | The Joomla Cream component suffers from a remote SQL injection vulnerability. |
| 16.03.2010 | joomlagcalendar-lfi | The Joomla GCalendar component version 2.1.5 suffers from a local file inclusion vulnerability. |
| 16.03.2010 | joomlaninjarss-lfi | The Joomla Ninja RSS Syndicator component version 1.0.8 suffers from a local file inclusion vulnerability. |
| 16.03.2010 | joomlabidding-sql | The Joomla Bidding component suffers from a remote SQL injection vulnerability. |
| 17.03.2010 | joomlaas-sql | The Joomla As component suffers from a remote SQL injection vulnerability. |
| 18.03.2010 | joomlackforms-lfisql | The Joomla Ckforms component suffers from local file inclusion and remote SQL injection vulnerabilities. |
| 18.03.2010 | joomlainclude-sql | The Joomla Include component suffers from a remote SQL injection vulnerability. |
| 19.03.2010 | joomlaalert-sql | Joomla Alert suffers from a remote SQL injection vulnerability. |
| 22.03.2010 | joomlajetooltip-lfi | The Joomla JE Tooltip component suffers from a local file inclusion vulnerability. |
| 24.03.2010 | joomlajresearch-lfi | The Joomla J!Research component suffers from a local file inclusion vulnerability. |
| 24.03.2010 | joomlacb-sql | The Joomla CB component suffers from a remote SQL injection vulnerability. |
| 24.03.2010 | joomlacx-sql | The Joomla CX component suffers from a remote SQL injection vulnerability. |
| 24.03.2010 | joomlagds-sql | The Joomla GDS component suffers from a remote SQL injection vulnerability. |
| 24.03.2010 | joomlajwmmxtd-rfi | The Joomla Jwmmxtd component suffers from a remote file inclusion vulnerability. |
| 24.03.2010 | joomlaaml2-sql | The Joomla AML 2 component suffers from a remote SQL injection vulnerability. |
| 24.03.2010 | joomlaproperty-lfi | The Joomla Property component suffers from a local file inclusion vulnerability. |
| 24.03.2010 | joomlawallpapers-sql | The Joomla Wallpapers component suffers from a remote SQL injection vulnerability. |
| 24.03.2010 | joomlauniversal-rfi | The Joomla Universal component suffers from a remote file inclusion vulnerability. |
| 25.03.2010 | joomlasoftware-sql | The Joomla Software component suffers from a remote SQL injection vulnerability. |
Jede dieser Sicherheitslücken ist bestätigt und ein Exploit dazu ist bereits vorhanden. Selbstverständlich liefere ich aber diese Exploits / Proof of concept nicht mit aus.
Warum Joomla mit so viel Bugs zu kämpfen hat, kann ich mir nur dadurch erklären, dass viele Programmierer einfach schlechte Arbeit abliefern, denn an der Art und Weise wie Joomla arbeitet kann es nicht liegen. Ein anderer Aspekt kann natürlich auch sein, das Zwielichtige Personen es auf Joomla abgesehen haben und dadurch kommen mehr Bugs zum Vorschein.
Beim Einsatz von Open CMS Lösungen sollte einem die Sicherheit daher ein wichtiges Thema sein. Auch sollten nicht unbekannte Plugins ohne Source-Kontrolle installiert werden.
Durch die Nutzung von fremder Software kann man sich recht schnell bei einem Update Probleme einhandeln, wo bei eigener Software gegebenenfalls ausgeblieben wäre.
Benutzer, die diesen Beitrag fanden, suchten nach:
- cms sicherhiet
- confixx joomla auto installer
- cumulus flash for joomla
- sicherheit bei cms
- sicherheit cms
Veröffentlicht in 
Schlagworte: Kommentieren
 Kontaktdaten | IT Blögg? Ein männlicher IT Nerd durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. |