Letzte Nacht ist die neue Version der 1.0.x-Reihe von Joomla erschienen. Sie schließt wieder einige Sicherheitslücken - und macht darüber hinaus die Verwaltung der Mambots unbrauchbar.

Im offiziellen Joomla-Forum wurde er mit seinen - von mir sehr geschätzten und klugen - Anmerkungen oft genug nicht ernst genommen oder niedergeschrien, weil die Community dort Kritik (auch wenn sie fundiert und konstruktiv ist) nicht so gerne hört.

Jetzt bringt Joe alias eyezberg es einmal auf den Punkt und stellt die Joomla-Frage aus der Sicht eines Anwenders, der ein CMS benötigt und sich für Joomla interessiert. Das Resultat ist etwas ernüchternd, aber mehr als nachvollziehbar.

Joe ist seit bald drei Jahren aus der Community nicht mehr wegzudenken und einer der engagiertesten Mitstreiter noch aus den alten Mambo-Tagen. Ein unbequemer Kopf, der sich denselben schon oft zerbrochen hat, um qualitativ exzellente Verbesserungsvorschläge zu machen. Einer, der einfach nicht verstehen mag, warum das Core-Team total versagt, wenn es darum geht, sich simpelste Kommunikationsregeln zu eigen zu machen.

Ein Frust-Blogeintrag? Sicherlich. Aber ein fundierter und lesenswerter. Solidarische Grüße nach Paris, Joe.

In den letzten Tagen gab es eine massive Angriffswelle auf Mambo- und Joomla-Sites. Ziel waren dabei Lücken in Drittkomponenten, die schlampig programmiert waren. (Für das Kernsystem Joomla 1.0.10 gibt es im Moment hingegen keine bekannten Sicherheitslücken.)

Im Forum auf joomla.org hat man schnell reagiert und - zusätzlich zur bestehenden Rubrik für Sicherheitsfragen zu Joomla selbst - eine neue Rubrik für Sicherheitsprobleme bei Drittkomponenten eingerichtet.

Eigentlich betreibe ich hier keine reine News-Seite, aber diese Information halte ich für wichtig: Anwender der Komponenten SimpleBoard bis Version 1.1.0 und ExtCalendar sehen sich zur Zeit massiven Cracking-Attacken ausgesetzt, die hauptsächlich aus IP-Ranges der Türk Telecom kommen.

Beide Komponenten weisen eklatante Sicherheitslücken auf, die bereits in großem Stil automatisiert aufgespürt und für Defacements ausgenutzt werden.

Andrew Eddie hatte das Projekt Mambo nach dem Rücktritt des früheren Projektleiters Robert Castley übernommen und dann im letzten Jahr mit seinem Entwicklerteam durch den schweren Konflikt mit Miro gesteuert. Das Ergebnis war schließlich die Mambo-Weiterentwicklung Joomla, die derzeit in der Version 1.0.10 vorliegt. Parallel zum 1.0.x-Zweig wird seit längerem an der Version 1.5 gearbeitet. Am vergangenen Wochenende wurde diese für "feature complete" erklärt.

Just zu diesem Zeitpunkt wurde auf www.joomla.org ein Statement veröffentlicht, das Andrews Rücktritt von der Projektleitung bekanntgibt. Wer im zugehörigen Forum weiterliest, stellt fest, dass neben Andrew auch Mitch Pirtle und Arno Zijlstra sich zurückziehen.