Beiträge von Roesi
-
-
Vielleicht bin ich da noch geprägt von früher und OldSchool unterwegs, aber einen Versionssprung setze ich immer neu auf.
Ist zwar jede Menge arbeit, aber dafür kann ich sicher sein, dass (fast) alles funktioniert.
Ein weiterer Vorteil ist, dass man das System dadurch besser kennen lernt, wofür sich heutzutage niemand mehr die Mühe machen will.
Naja, was mir auffällt ist das die meisten Seiten "hire and fire" sind. Kaum da schon wieder weg.
Pizza Lieferdienst etc.
Da ist das mit dem neu machen ja ok.
Was ist aber wenn eine Seite wie z.B. Ortsseite schon mal locker 1000 Beiträge hat. Da wirds mit neu aufsetzen schon schwieriger.
-
Abgesehen davon das es nicht für Mobile Geräte optimiert ist, finde ich das Design passend gut für die Firma.
-
Joomla Shop, leider nein.
Würde auf einen Standalone setzen.
Ich persönlich habe mit Gambio gute Erfahrung gemacht.
-
Sorry falls ich Unfrieden gestiftet habe.
Mir haben das 3 ITler aus Firmen zugeschickt die ich kenne und die im Intranet Joomla einsetzen in Ihren Firmen.
Ich selbst bin damit nicht so bewandert, dachte aber vielleicht ist es hilfreich für jemanden anderen.
Wenn dies falsch war entschuldige ich mich hiermit.
-
https://portswigger.net/daily-…to-full-system-compromise
Habe es mal übersetzen lassen im Firefox:
Doppelte Schwachstellenkombination im beliebten CMS Joomla könnte zu einer „vollen Systemkompromittierung“ führen
AKTUALISIERT Sicherheitsforscher haben die Details von zwei enthüllt, Schwachstellen in Joomla – dem beliebten Content-Management-System – die, wenn sie miteinander verkettet werden, ihrer Meinung nach verwendet werden könnten, um eine vollständige Systemkompromittierung zu erreichen.
Die beiden Sicherheitslücken – eine Sicherheitslücke zum Zurücksetzen von Passwörtern und ein gespeicherter Cross-Site-Scripting- (XSS)-Fehler – wurden beide von Sicherheitsforschern bei Fortbridge entdeckt und im Februar bzw. März verantwortlich an die Entwickler von Joomla weitergegeben.
Spezifische Konfiguration
Nach einigen Verzögerungen hat Joomla mit der Version 3.9.27 des CMS ( einen Patch für die XSS-Schwachstelle veröffentlicht veröffentlicht im Mai) . Die (wohl weniger schwerwiegende) Sicherheitslücke beim Zurücksetzen des Passworts kann mit einer „ gemildert werden trusted_hosts Konfiguration von “ .
Diese Passwort-Schwachstelle ist laut Fortbridge noch nicht gepatcht, was Joomla-Benutzern rät, die " $live_site Variable " in der Datei configuration.php als Workaround zu setzen, bis ein Patch für das Problem mit dem Zurücksetzen des Passworts geliefert wird.
Laut Joomla erfordert diese HOST-Header-Injection-Schwachstelle jedoch "extrem spezifische Umstände", die in der Joomla-Community "extrem ungewöhnlich" sind, um ausgenutzt werden zu können.
Kombinationsangriff
Die beiden Schwachstellen in Joomla sind beide hochgradig und „wenn sie miteinander verkettet sind, ermöglichen sie einem Angreifer, eine Joomla-Website vollständig zu übernehmen“, sagte Adrian Tiron, geschäftsführender Gesellschafter bei Fortbridge, gegenüber The Daily Swig .
„Sobald der Angreifer vollen Zugriff auf die Joomla-Website hat, können [sie] eine PHP-Shell hochladen, die es [ihnen] ermöglicht, Befehle auf dem Server auszuführen“, warnte Tiron.
Informieren Sie sich über die neuesten Nachrichten aus der Sicherheitsforschung
Die erste Schwachstelle ermöglicht es dem Angreifer, das eines Administrators zurückzusetzen Passwort .
Tiron erklärte: „Der Angreifer löst den Vorgang zum Zurücksetzen des Passworts aus und kann den Link zum Zurücksetzen des Passworts so manipulieren, dass er auf den Server des Angreifers verweist, wo [sie] das Token des Opfers erfassen und [ihr] Passwort zurücksetzen, sobald das Opfer auf den Link oder den Link klickt wird von einer AV/EDR-Scanlösung [Antivirus/Endpoint Detection and Response] abgerufen.
„Sobald der Angreifer in der Lage war, das Passwort des Administrators zurückzusetzen und Administratorrechte erhalten hat, [sie] nutzen die zweite Schwachstelle, ein gespeichertes XSS, um den ‚Super Admin‘-Benutzer anzugreifen.“
Durch die Ausweitung der Privilegien auf 'Super Admin' kann ein Angreifer vollen Zugriff und die Möglichkeit erhalten, einen Remote Code Execution (RCE)-Angriff gegen ein anfälliges Joomla-CMS auszuführen, warnt Fortbridge.
Als Antwort auf Fragen von The Daily Swig gaben die Entwickler von Joomla eine detaillierte Erklärung ab, in der sie die angebliche Schwere der von Fortbridge entdeckten Fehler bestritten:
Fortbridge hat zunächst zwei separate Probleme gemeldet:
1. eine sogenannte HOST-Header-Injection
2. ein Angriffsvektor, der letztendlich zu einem XSS-Angriff führen würde, während er die Existenz eines privilegierten, aber nicht Super-Admin-Kontos auf der Joomla-Installation erfordert requiring
Der XSS-Vektor wurde in Joomla 3.9.27 korrigiert.
Die HOST-Header-Injection erfordert extrem spezifische Umstände, um ausgenutzt werden zu können, nämlich ein Webserver-Setup mit entweder:
a) keine vhosts konfiguriert werden oder
b) eine Joomla-Installation, die sich im konfigurierten Standard-vhost befindet
Ein solches Setup ist in der Joomla-Community äußerst ungewöhnlich, da die überwiegende Mehrheit der Sites in Shared-Hosting-Umgebungen ausgeführt wird, in denen diese Bedingungen nicht erfüllt sind.
Aber selbst wenn eine Joomla-Site in einer solchen Umgebung läuft, kann eine Joomla-Site bereits geschützt werden, indem das vorhandene $live_site Konfigurationsflag in der configuration.php verwendet wird.
Wider lessons
Fortbridge hat eine detaillierte technische Zusammenfassung diese Woche seiner Ergebnisse veröffentlicht. Der zugehörige Proof-of-Concept-Code wurde auf GitHub veröffentlicht .
Joomla ist mit mehr als 1,5 Millionen Installationen weltweit eine der beliebtesten CMS-Plattformen. Fortbridge stieß bei einem Penetrationstest auf die Fehler, die es in der Plattform entdeckte.
Abgesehen von der Bedeutung der Ergebnisse an sich bieten sie anderen Entwicklern Lektionen, so Tiron von Fortbridge.
Zum einen wäre der gespeicherte XSS-Fehler durch die Verwendung von Zulassungslisten anstelle von Sperrlisten vermeidbar gewesen. Zweitens vermeiden Sie das Passwort-Reset-Links mit Erstellen von $_SERVER['HTTP_HOST'] / $_SERVER['SERVER_NAME'] , da diese "Variablen tatsächlich Benutzereingaben sind", riet Tiron.
Diese Geschichte wurde aktualisiert, um zu verdeutlichen, dass das Problem mit dem Zurücksetzen des Passworts laut Sicherheitsforschern von Fortbridge ungelöst bleibt, und um einen Kommentar von Joomla hinzuzufügen, der dies und die allgemeine Schwere der Mängel bestreitet.
-
Löschen? Muss aus dem Englischen falsch übersetzt worden sein. Die meinten bestimmt unsichtbar für den User....
-
Die einzige Frage ist: wofür brauchst du einen anderen Editor als den Tiny Mambot? Ich staune eh, dass noch irgendwo eine 1.0 unversehrt in Betrieb ist .
In einem Intranet ohne Probleme möglich.
Nicht alle Joomla sind ans Internet angebunden. -
Benütze ebenfalls FF und versuche Browser auf Chrome Basis zu vermeiden wo es geht.
Traurig das Edge seit einer weile ebenfalls zwangsweise auf Chrome basiert.
-
Anhand dem Beitrag hier auch mal auf die Suche gemacht.
Danke für die Links hier.Ich bin hier fündig geworden und habe mir gleich die Pro Version gekauft.
Funktioniert super.
-
Ich steige da noch nicht ganz durch.
Wenn ich bereits einen Blog habe mit vielen Beiträgen.
Wie kann ich denn in der Blog Vorschau mit Hilfe von Yootheme Pro ein bestimmtes Design zuweisen?
Hier schon durchgelesen steige da aber nicht durch:
Blog and Post - YOOtheme Pro Joomla Documentation - YOOtheme
-
-
Hallo zusammen,
lässt sich eine bestehende Homepage Seite mit einem Blog generiert durch Joomla Haupteinträge auf ein Yootheme Pro Design anpassen?
Oder müssen die Blog Berichte (Artikel) immer im Yootheme Pro Template geschrieben werden?
-
Hallo,
ich will auf meiner Seite eine Besucherstatistik haben und wollte das mit Matomo bewerkstelligen. Mit Piwik hatte ich das schonmal am laufen aber mit Matomo bekomme ich das nicht hin.
Weiß da jemand Rat ? Hab den Tracking Code im Plugin eingetragen aber keine Besucherzahlen werden gezählt.
Das dauert erst mal. Gleich nach dem installieren des Plugins sind noch keine Daten erhoben worden.
-
Hast Du das mittlerweile umgesetzt?
-
Hat dies jemand im Einsatz?
So ganz schlau bin ich aus der Demo nicht geworden.
Kann ich dies explizit für einzelne Beiträge machen (also nicht für alle)?
-
In der FB-Gruppe gibt es die gleiche Frage und dort wird konkrete Hilfe angeboten - evtl. schaust Du dort mal rein.
Wenn zwei den selben Fehler melden, wird er ja noch öfter auftreten.
Das ist super das Du eine Quelle nennst wo es eine Lösung gibt.
Aber, ich weis jetzt kommt das aber.
Facebook ist keine echte Quelle um Wissen speichern zu können. Außerdem hat nicht jeder einen Login dafür.
Bitte die Lösung einfach hier rein schreiben und alle haben etwas davon.
-
off topic
Gibt es wirklich jemand der sich das freiwillig antut mit einem Handy sein Backend zu verwalten?
-
Wo kann man in normalen Artikeln die Tags als Button optisch darstellen?
-
7.2 oder 7.3
Abhängig auch von Deinen eventuellen Zusatzerweiterungen.