Seit gestern früh wurden mehrere der zentralen Sites auf der Domain joomla.org mehrmals nacheinander gehackt. Betroffen war der Server, auf dem die Hauptsite samt den News, die Developer-Site, die Dokumentations-Site und der Shop läuft.

Laut dem ersten offiziellen Statement befand sich die Lücke, durch die die Angreifer eindringen konnten, jedoch nicht im aktuellen Code von Joomla selbst, sondern in einem Script, das für den Shop verwendet wurde.

In seinem Statement räumt Lead-Developer Louis Landry ein, dass die Site, auf der der Shop läuft, nur unzureichend abgesichert war.

• So wurde dort noch die Emulation von register_globals verwendet, wovon seit langem weithin abgeraten wird.
  
• Eine .htaccess-Datei zur Abwehr der gebräuchlichsten Exploits war auf der betroffenen Site nicht im Einsatz.
• In dem Shop-Script befand sich eine Lücke, durch die eine remote file inclusion (Aufruf von Schadcode von einem entfernten Server) möglich wurde.

Nach aktuellem Kenntnisstand handelt es sich also nicht um eine Sicherheitslücke in Joomla selbst. Ein lückenhaftes externes Script, verbunden mit einer zu laxen Serverkonfiguration, ist für die erfolgreichen Angriffe verantwortlich.

Der betroffene Server ist (am 19.08.2007 mittags) nach wie vor offline, während das Team eine saubere Wiederherstellung der Sites versucht. Der Shop, so Louis, wird zunächst auf absehbare Zeit abgeschaltet bleiben.

Dass Joomla-Fanartikel wie T-Shirts oder Kaffeetassen derzeit nicht bestellt werden können, ist ein sicherlich verschmerzbarer Verlust. Schwerer wiegt die Nichterreichbarkeit der zentralen Joomla-Sites und die Tatsache, dass auch versierten Site-Betreibern hier ein gravierender Lapsus unterlaufen ist.

Beruhigend immerhin für alle Joomla-Nutzer ist es, dass es nicht der Code von Joomla selbst war, der diese Sicherheitslücke ermöglichte.

Kommentare (0)

RSS feed Kommentare