Nach einer kurzen Beta Phase wurde nun die neue Joomla! 2.5 Final freigegeben. Diese Version ist die Ablösung für die Joomla! 1.7 Version. Die offizielle Unterstützung für 1.7 läuft noch bis zum 24.02.2012. Die Joomla! 2.5 Version ist eine Langzeit Support Version wie die 1.5.
Zu der Versionsentwicklung wurde eine Grafik veröffentlicht, die das ganze besser veranschaulichen soll. http://www.joomlacommunity.eu/files/joomla-development-strategy-de.jpg
Bisher sind auch keine Probleme mit den Templates und Erweiterungen bekannt das bedeutet das ein Update von der 1.7.3/1.7.4 auf die 2.5 ohne Probleme möglich sein sollte.
Leider beinhaltet die 2.5, sowie die 1.7.x nach unserer Meinung nach drei erhebliche Sicherheitslücken.
Die erste Schwachstelle ist das die Passwörter weiterhin in MD5 mit einem schwachen Salt in der Datenbank gespeichert werden. Obwohl Joomla! von Haus aus z.B. SH1 inkl. Salt unterstützt. Andere Systeme wie Drupal setzen schon seit längerer Zeit auf die sicherere Verschlüsselungstypen.
Die anderen zwei Schwachstellen betreffen die Updatefunktion von Joomla! selbst.
In „administrator/manifests/files/joomla.xml“ stehen die Update Server für den Core, sowie der Erweiterungen. Leider kann diese Datei manipuliert werden und Schadcode eingeschleust werden. Da hier keinerlei Prüfung bzw. Authentifizierung stattfindet.
Das Nachladen des Update erfolgt über die PHP-Funktion „fopen“, die viele Hoster aus Sicherheitsgründen sperren. Es gibt auch eine alternative „curl“ aber die wurde trotz mehrfachen Hinweis der Benutzer nicht genutzt.
http://www.joomla-security.de/server/phpini-einstellungen.html
Unsere Versionshinweise wurden für Joomla! 2.5 angepasst:
http://www.joomla-security.de/allgemeines/einfuehrung.html
Sollten neue Beträge erstellen oder bestehende geändert werden werden, wird auch die neue Version berücksichtigt.
24 Jan2012