"Oh nein, nicht schon wieder. Das muss ein übler Scherz sein. Ich hab doch erst gestern auf die 1.5.19 aktualisiert?!" Ja, wir haben vollstes Verständnis für solche oder ähnliche Reaktionen und Klagen. Updates sind eine klasse Sache, aber man reduziert den Spaß mit ihnen gerne auf ein absolutes Minimum. Umso ärgerlicher wenn kurz nach einem Update bereits das nächste veröffentlicht wird, so wie genau jetzt bei Joomla. Anlass dafür soll eine neue Sicherheitslücke sein, von der aktuell aber keine konkreten Informationen zu bekommen sind. Weder in der offiziellen Ankündigung, noch in den FAQ zum Release oder im Forum von Joomla.org sind irgendwelche Hinweise zu finden. Selbst das in den Paketen enthaltene Changelog ist an dieser Stelle schlicht leer. Fakt ist allerdings, das die Entwickler aus dem Core-Team ausdrücklich zu einem raschen Update raten. Wie weit man dieser offiziellen Empfehlung folgt ohne zu wissen was man dort überhaupt schließen möchte, muss letztlich jeder für sich selbst entscheiden. Das man bei diesem Update aber offensichtlich mit der ganz heißen Nadel gestrickt hat, lässt aber vermuten, das es sich dabei nicht um eine "Kleinigkeit" handelt. Sollten uns während des Tages weitere Neuigkeiten zu diesem Thema erreichen, halten wir euch selbstverständlich auf dem Laufenden. Dies gilt ebenso wenn das überarbeitete deutsche Paket von jGerman zur Verfügng steht. Bis dahin findet ihr die englische Joomla Vollversion und Updates in unseren Downloads.

Update: Das Geheimnis um das schnelle Erscheinen und fehlende Changelog von Joomla 1.5.20 dürfte nun gelüftet sein. Laut offizieller Stellungnahme soll es bei der Erstellung, beziehungsweise dem Packvorgang an sich, von Joomla 1.5.19 zu Fehlern gekommen sein, die nun mit Version 1.5.20 behoben werden sollen. 

Wie gestern bereits auf einigen Kanälen angekündigt, hat das Joomla-Team heute Nacht eine überarbeitete Version 1.5.19 zum Download freigegeben. Grund dafür sind vier bekannt gewordene Sicherheitslücken von denen eine weniger kritisch und drei als moderat kritisch eingestuft worden. Was sie allerdings alle gemein haben, ist der Umstand das sie sich nur über das Joomla Backend ausnutzen lassen, was den Kreis potenzieller Angreifer doch stark einschränkt. So soll es sich bei der ersten Schwachstelle ([20100701] - Core - SQL Injection / Internal Path Exposure) um eine Möglichkeit handeln, durch einen gezielt verursachten MySQL-Fehler, an die Information zum absoluten Pfad zu gelangen. Nicht wirklich spektakulär, könnte aber durchaus als Grundlage für weitere Angriffe auf das System ausgenutzt werden. Die Schwachstellen zwei bis vier ([20100702], [20100703] und [20100704] - Core - XSS Vulnerabillitis in Back End) ermöglichen es dagegen, an einigen Stellen im Joomla Backend Schadcode über vorhandene JavaScripte nachladen und zur Ausführung bringen zu lassen. Auch hier müssen  die Angreifer wieder über Zugang zum Joomla Backend verfügen, was wohl nur in den seltesten Fällen vorkommen dürfte. Fern ab dieser nun behobenen Probleme, gibt es noch eine eher angenehme Änderung. So ist es mit Joomla 1.5.19 nun möglich die aktuelle Version 1.2.4 der Mootools laden zu lassen, ganz einfach über das neu hinzugekommene Plugin "System - Mootools Upgrade". Wer möchte kann es bei Bedarf über den Joomla Plugin-Manager mit einem Klick aktivieren.

Ungewollte Nebenwirkungen scheint es mit dem neuen Joomla 1.5.19 noch nicht zu geben, unsere Testseite verhält sich wie sie soll. Auch innerhalb der Joomla Foren ist bisher alles ruhig geblieben. Die Pakete in unseren Downloads haben wie bereits mit den aktuellen Versione bestückt. Neben der original Vollversion in Englisch, bieten wir auch wieder die ins Deutsche übersetze Version von jGerman, sowie die kleineren Updates für Vorgängerversionen an. Bitte daran denken vor dem Update ein vollständiges Backup der eigenen Seite anzufertigen.

Der kleine blaue Vogel von Twitter dürfte inzwischen eine Großteil der Webseiten im Internet erobert haben, kaum ein Platz an dem nicht auf diesen extra Service mit 140 Zeichen hingewiesen wird. Wer dabei nicht auf die mehr oder minder verbrauchten Standard-Icons zurückgreifen möchte die man praktisch überall sieht, der setzt auf etwas ausgefallenere Grafiken. Eine recht schöne Quelle dafür ist zum Beispiel ein Paket von "Iconshock", das sehr schön aufbereitet auch über die Webseite von Softicons angeboten wird. Dort kann sich der interessierte Besucher durch einen Satz von 54 Grafiken suchen, die ihrerseits in 9 unterschiedlichen Größen als PNG, sowie als einzelnes Icon für die Browserzeile vorliegen. Vorteil dieser Lösung ist das man sich nicht das ganze Paket herunterladen muss - das geht übrigens trotzdem noch wenn man es wünscht - sondern sich gezielt die Grafiken herauspicken kann die man explizit nutzen möchte. Einfacher geht es kaum noch. Die dort angebotenen Werke stehen zwar nicht unter der GPL, dürfen laut Lizenz aber für private und kommerzielle Webseiten genutzt werden, so lange man sie nicht verkauft oder mit anderen Werken bündelt. Die vollständigen Bedingungen findet ihr hier: Iconshock Lizenz. Wir wünschen viel Spaß beim Bewerben eures Twitteraccounts und allseits genügend Follower.

Beliebte und weit verbreitete Systeme werden schnell zu einem einem ebenso beliebten Ziel für Angriffe aller Art, ein Umstand mit dem auch Joomla recht schnell zu kämpfen hatte. Dabei ist es häufig nicht einmal das System selbst das große Schwachstellen bietet, sondern nachträglich installierte, schlecht geschriebene Erweiterungen, sowie Konfigurationsfehler und bewusst falsch gesetzte Einstellungen, die die dafür nötige Angriffsfläche in einem Joomla schaffen. Normalen Anwendern kann man an dieser Stelle oft noch nicht mal einen direkten Vorwurf machen, sie wissen es schlicht nicht besser. Doch was wenn eigentlich kompetente Entwickler falsche Ratschläge geben, oder schlimmer noch, unsichere Voreinstellungen in ihren Erweiterungen vornehmen um eventuell den Support zu entlasten? Genau so ein Fall sorgt aktuell für einiges an Kritik in der Joomla Entwickler Community. Konkret handelt es sich dabei um das vor kurzen unter GPL veröffentlichten "JomSocial". Also einem alles anderen als unbekannten oder unbedeutenden Projekt. Genau dieses bietet innerhalb seiner Einstellungen einen Punkt an, neu angelegten Dateien und Verzeichnisse die Zugriffsrechte chmod 777 zu geben, also frei Haus eine potenzielle Sicherheitskücke im System zu schaffen und gegen alle Appelle des Core-Teams zu handeln.