Thema: Erneute Sicherheitswarnung für JCE-Editor Komponente

Es gibt schon wieder eine Sicherheitswarnung für den JCE.

Gefahr der Blind SQL-Injection!

Quelle und weitere Hinweise:

http://eidelweiss-advisories.blogspo...blind-sql.html

Wieso steht da kein Datum und keine Versionsnummer? Ist die Meldung überhaupt für die aktuelle Version?

Schaust du rechts in die Leiste ist die Meldung von dieser Woche! Version konnte ich bisher nicht rausbekommen. Es wird aber auf den momentanen Download verwiesen. Ich konnte in den vergangenen Changelogs auch keinen Hinweise zu einem entsprechenden Sicherheits release finden bisher finden (sprich in alten Versionen): http://www.joomlacontenteditor.net/s...angelog-editor



Hier wird sich aktuell auch auf die Meldung bezogen und das ist ja nun eine bekannte Seite was dieses angeht: http://www.exploit-db.com/webapps/

Zitat von timkeller

Schaust du rechts in die Leiste ist die Meldung von dieser Woche!

Na und? Weißt du, wie viele neue Meldungen zu uralten, längst behobenen Lücken ich schon gesehen habe?

Version konnte ich bisher nicht rausbekommen.

Ohne Version ist die Meldung nichts wert.

Es wird aber auf den momentanen Download verwiesen.

Nein, es wird auf die Seite verwiesen, wo schon seit zwei Jahren der jeweils aktuelle Download liegt. Ich glaube, sogar schon die Betas waren da zu finden.

Ich konnte in den vergangenen Changelogs auch keinen Hinweise zu einem entsprechenden Sicherheits release finden bisher finden (sprich in alten Versionen): http://www.joomlacontenteditor.net/s...angelog-editor

Das könnte auch daran liegen, daß es da gar nichts zu fixen gibt. Ich sehe nämlich nicht, wie man mit dem Exploit eine SQL Injection einschleusen sollte. Die com_jce fragt die Itemid nämlich überhaupt nicht ab. Dafür interessiert sich nur Joomla selbst, um die richtigen Einstellungen, Module und das Template zu laden. Und das läßt sich von einer ungültigen Itemid nicht so blöde reinlegen. Es ignoriert sie einfach. Probier es aus.

Hier wird sich aktuell auch auf die Meldung bezogen und das ist ja nun eine bekannte Seite was dieses angeht: http://www.exploit-db.com/webapps/

Die Logik mußt du mir erklären. Weil eine Meldung ohne Prüfung übernommen wird, wird sie richtig?

Einfach mal beim JCE-Team anfragen, ob sie diese Meldung bestätigen können und (falls ja) was die empfohlene Verfahrensweise bis zu einem Fix ist.

Es gibt eine Antwort des Entwicklers zu Skodis Anfrage.

Joomla-Hilfe hat also Recht. Der JCE-Editor verwendet die Itemid nicht.

Könnte also eine Fake-Meldung sein. Vielleicht haben aber auch diejenigen die den Exploit veröffentlicht haben nur etwas an dem Itemid-System von J! nicht verstanden. Ryan hat das jetzt bestätigt und vorher auch mit anderen Entwicklern gesprochen.

Es wird im Moment davon ausgegangen, dass die beiden aktuellen Version (1.5.x and 2.0) sicher sind. Wird aber nochmal geprüft und es wird auch bald nochmal Updates für beide geben.

Quelle:

I have been investigating this report and have asked the advice of a number of prominent Joomla! developers that I would consider to be knowledgable in the field of Joomla! security. None of them feel that this is an issue and that either the exploit report is fake, takes advantage of another vulnerability within Joomla! or another extension, or they mistook some Itemid-specific action (like a module assignment) as being evidence of an exploit, which it isn't.