Joomla! ... und noch ein CMS

• About this group
• Forums

• Home
• Groups
• Joomla! ... und noch ein CMS
• Forums
• Bugs & Fixes
• Sicherheitslücke CB mit uddelM

• 
  Thomas Pipp

  The company name is only visible to registered members.

  Sicherheitslücke CB mit uddelM

  Hallo,
  
  Für ein klassisches "wir haben eigentlch kein Geld" Projekt habe ich versucht eine Lösung mit ausschließlich kostenfreien Joomla! Komponenten zu basteln.
  
  Die Kombination war Joomla! 1.5.20, CB(latest) , eventlist(latest), uddelM als PMS für CB (latest) und zum testen hatte ich noch seminar für Joomla! installiert.
  
  Kurz nach der installation von uddelM (zuletzt installiertes Modul) wurde ich Opfer eines Defacement Angriffs. Nicht nur die beschriebene Seite (auf einer subdomain installiert) sondern alle meine Joomla!-Seiten auf allen bei mir gehosteten Domains wurden verändert.
  
  Joomla! mit CB habe ich auf einigen Seiten seit Jahren problemlos laufen.
  Eventlist ebenso.
  
  Ich vermute daher daß die Lücke im uddelM ist. Seminar könnte es auch sein, aber das lief schon zwei Tage bevor ich uddelM installierte. kurz darauf.....
  
  Liebe Grüße
  Tom
  
  P.S.:
  Kennt vielleicht jemand ein feines PMS-Modul für CB ?
  
  • 21 Sep 2010, 07:44 am
  Thomas Pipp wrote: > Hallo, > > Für ein klassisches "wir haben eigentlch kein Geld" Projekt habe ich > versucht eine Lösung mit ausschließlich kostenfreien Joomla! > Komponenten zu basteln. > > Die Kombination war Joomla! 1.5.20, CB(latest) , eventlist(latest), > uddelM als PMS für CB (latest) und zum testen hatte ich noch seminar > für Joomla! installiert. > > Kurz nach der installation von uddelM (zuletzt installiertes Modul) > wurde ich Opfer eines Defacement Angriffs. Nicht nur die > beschriebene Seite (auf einer subdomain installiert) sondern alle > meine Joomla!-Seiten auf allen bei mir gehosteten Domains wurden > verändert. > > Joomla! mit CB habe ich auf einigen Seiten seit Jahren problemlos > laufen. > Eventlist ebenso. > > Ich vermute daher daß die Lücke im uddelM ist. Seminar könnte es auch > sein, aber das lief schon zwei Tage bevor ich uddelM installierte. > kurz darauf..... > > Liebe Grüße > Tom > > P.S.: > Kennt vielleicht jemand ein feines PMS-Modul für CB ?
• 
  Christian Rudolph    Premium Member   Group moderator

  The company name is only visible to registered members.

  Re: Sicherheitslücke CB mit uddelM

  Hi,
  
  ich hab mich nicht wirklich weiter damit befasst, aber gerade einfach mal in die große Kugel geschaut. Ich konnte da keinen Hinweis auf eine Sicherheitslücke finden und es scheint auch eine sehr gängige Kombination zu sein.
  
  Vielleicht war es einfach Zufall?
  
  Hier findest Du eine Liste mit unsicheren Komponenten - genannt ist nur der CB selbst in einer älteren Version:
  http://www.joomla-downloads.de/sicherheitsmeldungen/unsicher...
  
  Gruß
  Christian Rudolph
  This post was modified on 21 Sep 2010 at 08:49 am.
  • 21 Sep 2010, 08:47 am
  Christian Rudolph wrote: > Hi, > > ich hab mich nicht wirklich weiter damit befasst, aber gerade einfach > mal in die große Kugel geschaut. Ich konnte da keinen Hinweis auf > eine Sicherheitslücke finden und es scheint auch eine sehr gängige > Kombination zu sein. > > Vielleicht war es einfach Zufall? > > Hier findest Du eine Liste mit unsicheren Komponenten - genannt ist > nur der CB selbst in einer älteren Version: > http://www.joomla-downloads.de/sicherheitsmeldungen/unsichere-komponenten/ > > Gruß > Christian Rudolph
• 
  Thomas Pipp

  The company name is only visible to registered members.

  Re^2: Sicherheitslücke CB mit uddelM

  Na Ja...
  
  Möglich ist's natürlich, das wär aber echt ein komischer Zufall.
  
  CB+eventlist+seminar liefen schon 2 Tage, dann uddel installiert und ein paar h später war der hack da..
  
  Und wie gesagt CB plain und eventlist laufen sonst problemlos.
  
  war auch der erste erfolgreiche angriff auf meinen server...
  
  ich werd das ganze auf meinem privaten spiel&experiment-server nochmal aufsetzen (vorerst ohne uddel und seminar) und dann in Wochenabständen den rest dazuinstallieren.wenn's dann nochmal passiert kann ich mehr sagen. auf dem geschäfts-server trau ich mich nicht mehr. bin froh alle wichtigen Seiten wieder online zu haben....
  
  danke für den link
  Liebgruss
  Tom
  
  • 23 Sep 2010, 6:37 pm
  Thomas Pipp wrote: > Na Ja... > > Möglich ist's natürlich, das wär aber echt ein komischer Zufall. > > CB+eventlist+seminar liefen schon 2 Tage, dann uddel installiert und > ein paar h später war der hack da.. > > Und wie gesagt CB plain und eventlist laufen sonst problemlos. > > war auch der erste erfolgreiche angriff auf meinen server... > > ich werd das ganze auf meinem privaten spiel&experiment-server > nochmal aufsetzen (vorerst ohne uddel und seminar) und dann in > Wochenabständen den rest dazuinstallieren.wenn's dann nochmal > passiert kann ich mehr sagen. auf dem geschäfts-server trau ich mich > nicht mehr. bin froh alle wichtigen Seiten wieder online zu haben.... > > danke für den link > Liebgruss > Tom