Joomla lukker alvorligt PHP-hul

Artiklen blev oprindeligt publiceret den 23/12/2015

Udviklerne af CMS’et Joomla har lukket to sikkerhedshuller, hvoraf det ene er alvorligt. Det skyldes en sårbarhed i PHP.

Det er kun en uge siden, Joomla sidst rettede en alvorlig sårbarhed. Udviklerne har nu fundet ud af, at den underliggende årsag er en fejl i PHP.

Udviklerne af PHP lukkede hullet i september med PHP 5.4.45, 5.5.29 og 5.6.13. PHP 7 er ikke sårbar.

Men da ikke alle brugere af Joomla holder deres PHP-version opdateret, har Joomla nu forhindret, at sårbarheden kan udnyttes, selvom man kører en sårbar PHP.

Det sker med Joomla 3.4.7, der samtidig også lukker et mindre alvorligt hul relateret til SQL-indsætning.

Anbefaling
Opdater til en rettet version af PHP og Joomla.

Links

• Joomla! 3.4.7 Released
• Sec Bug #70219 Use after free vulnerability in session deserializer, PHP
• [20151206] - Core - Session Hardening, Joomla
• Version 3.4.7 FAQ