Wenn Sie eine E-Mail von mir erhalten haben, die Sie auf diese Seite verweist, dann deshalb, weil Ihre Website offenbar eine nicht mehr unterstützte Version von Joomla einsetzt, dem Content-Management-System, auf dem Ihre Website aufbaut. Diese Seite erklärt, warum das wichtig ist und wie Sie es beheben.

Ist diese Nachricht seriös?

Ja. Dies ist ein Hinweis nach Treu und Glauben im Sinne der verantwortungsvollen Offenlegung von einem unabhängigen Sicherheitsforscher. Ich bitte Sie nicht um Geld, Passwörter oder Zugang zu Ihrer Website, und ich habe nicht versucht, in sie einzudringen oder etwas auszunutzen.

Ich habe lediglich eine öffentliche Datei gelesen, die Ihre Website jedem Besucher bereitstellt, ein Joomla-Versionsmanifest, und die Versionsnummer notiert, die es veröffentlicht. Das ist derselbe öffentliche Teil Ihrer Website wie Ihre Startseite. Nichts an dieser Prüfung berührt Ihre Daten, Ihren Administrationsbereich oder irgendeinen privaten Teil Ihrer Website. Wenn meine E-Mail eine bestimmte Version oder ein bestimmtes Sicherheitsproblem genannt hat, stammt das aus dem Lesen dieser einen öffentlichen Datei, nicht aus dem Testen von irgendetwas.

Wenn Sie überprüfen möchten, wer ich bin, sehen Sie sich die Kontaktdaten am Ende dieser Seite und die Über-Seite an.

Warum das wichtig ist

Joomla 3.x hat am 17. August 2023 das Ende seiner Lebensdauer erreicht. Frühere Zweige (2.5, 1.5) erreichten dieses Ende schon Jahre zuvor. Ende der Lebensdauer bedeutet, dass das Joomla-Projekt für diesen Zweig überhaupt keine Sicherheitskorrekturen mehr herausgibt, auch nicht für schwerwiegende, öffentlich bekannte Schwachstellen. Neue Schwachstellen, die nach dem Ende der Lebensdauer gefunden werden, werden für Ihre Version schlicht nie behoben.

Angreifer durchsuchen das Internet aktiv nach Websites, die diese nicht mehr unterstützten Versionen einsetzen, weil die Schwachstellen gut dokumentiert und leicht auffindbar sind. Häufige Folgen sind Verunstaltung der Website (Ihre Seiten werden ersetzt oder verändert), das Einschleusen von Spam und die Nutzung der Website zum Hosten schädlicher Inhalte. Wenn meine E-Mail eine bestimmte CVE genannt hat, bedeutet das, dass die Version, die Ihre Website meldet, in den Bereich fällt, den dieses Problem bekanntermaßen betrifft. Ich habe nicht getestet, ob Ihre konkrete Website ausnutzbar ist, sondern nur, dass sie eine betroffene Version meldet.

Die gute Nachricht: Der Wechsel auf eine unterstützte Version schließt diese Lücken, und es gibt einen gut dokumentierten Aktualisierungsweg.

Beispiele für bekannte Schwachstellen

Dies sind einige der öffentlich dokumentierten, hochgradig schwerwiegenden Schwachstellen, die nicht mehr unterstützte Joomla-3.x-Zweige (und frühere) betreffen. Da diese Versionen nicht mehr unterstützt werden, werden Probleme wie diese nie behoben, und die technischen Details sind breit veröffentlicht:

  • CVE-2015-8562: nicht authentifizierte Remote-Code-Ausführung über PHP-Objektinjektion, betrifft Joomla 1.5.x bis 3.4.5. Diese wurde aktiv in freier Wildbahn ausgenutzt.
  • CVE-2017-8917: kritische (CVSS 9.8) SQL-Injection in Joomla 3.7.0.
  • CVE-2016-8869: kritische (CVSS 9.8) Rechteausweitung über die Benutzerregistrierungskomponente, in Versionen vor 3.6.4.
  • CVE-2016-8870: unbefugte Kontoerstellung, selbst wenn die Registrierung deaktiviert ist, in Versionen vor 3.6.4.
  • CVE-2015-7857: SQL-Injection in der Komponente für den Inhaltsverlauf, betrifft Joomla 3.2 bis 3.4.4.

Wenn meine E-Mail eine bestimmte CVE genannt hat, wird es eine wie diese sein: ein öffentlich bekanntes Problem, dessen betroffener Versionsbereich die Version umfasst, die Ihre Website meldet.

So prüfen Sie Ihre Version

Sie müssen mir nicht glauben, welche Version Sie einsetzen.

Aus dem öffentlichen Manifest (keine Anmeldung nötig): öffnen Sie ihredomain.de/administrator/manifests/files/joomla.xml in einem Browser. Die <version>-Zeile ist die maßgebliche Kernversion, und dies ist dieselbe Datei, die ich gelesen habe.

Aus dem Administrationsbereich (falls Sie Zugang haben):

  1. Melden Sie sich in Ihrer Joomla-Administration an (üblicherweise unter ihredomain.de/administrator).
  2. Öffnen Sie System und sehen Sie sich dann das Panel Systeminformationen / Dashboard an, das die Joomla-Version anzeigt.

Wenn die Hauptversion 3, 2.5 oder 1.5 ist, befinden Sie sich auf einem nicht mehr unterstützten Zweig und sollten aktualisieren.

So aktualisieren Sie

Die aktuell unterstützten Hauptversionen sind Joomla 4 und Joomla 5. Erstellen Sie immer zuerst eine Sicherung (Dateien und Datenbank), bevor Sie Änderungen vornehmen; die meisten Hoster bieten Ein-Klick-Sicherungen an, oder Sie verwenden eine Joomla-Backup-Erweiterung.

Der empfohlene Weg von Joomla 3 aus ist:

  1. Aktualisieren Sie zunächst auf das neueste Joomla 3.10.x. Die 3.10-Reihe enthält eine integrierte Vorab-Update-Prüfung (in der Komponente Joomla-Aktualisierung), die alle Erweiterungen oder Templates kennzeichnet, die noch nicht mit Joomla 4 kompatibel sind.
  2. Beheben Sie die gemeldeten inkompatiblen Erweiterungen/Templates. Aktualisieren Sie sie auf Joomla-4/5-kompatible Versionen oder suchen Sie Ersatz.
  3. Führen Sie die Migration auf Joomla 4 durch und aktualisieren Sie anschließend weiter auf Joomla 5, über Komponenten → Joomla-Aktualisierung in der Administration.
  4. Download-Links und die aktuelle Version finden Sie stets beim offiziellen Projekt: https://downloads.joomla.org.
  5. Bestätigen Sie nach dem Update die neue Version anhand der obigen Schritte und prüfen Sie, ob Ihre Website normal lädt und sich bearbeiten lässt.

Wenn Ihre Website sehr alt ist (Joomla 1.5 oder 2.5), ist der Sprung größer und wird oft am besten als frischer Joomla-5-Aufbau mit übertragenen Inhalten durchgeführt. Eine Fachperson kann das schnell erledigen.

Aktualisieren Sie bei dieser Gelegenheit auch Ihre Erweiterungen und Ihr Template, denn dasselbe Prinzip (“nicht unterstützt heißt nicht gepatcht”) gilt für alle.

Ich habe keinen Webmaster / ich komme nicht weiter

Wenn Sie nicht die Person sind, die die Website betreut, leiten Sie diese Seite bitte an diejenige Person weiter, die das tut (Ihr Webentwickler, Ihre Agentur oder Ihr Hosting-Anbieter). Sie wird die obigen Schritte schnell wiedererkennen.

Wenn Sie die Website selbst betreuen und nicht weiterkommen, helfe ich Ihnen gerne kostenlos, in die richtige Richtung zu finden. Melden Sie sich über die Kontaktdaten unten.

Kontakt

Evan Harris, Sicherheitsforscher

Ich wende mich bei Problemen wie diesem ausschließlich deshalb an Betreiber, um ihnen zu helfen, ihre Websites abzusichern. Wenn Sie nicht erneut kontaktiert werden möchten, teilen Sie mir das einfach mit, und ich werde das respektieren.

Quellen

Offizielle Joomla-Quellen

Zusammenfassung von Dritten