Trotz der großen Ankündigung von Joomla 3.6.4 und der Dringlichkeit das Sicherheitsupdate einzuspielen, setzen erst ca. 10% der betroffenen Installationen (ab Joomla 3.4.4) auf die neuste und aktuell sichere Joomla Version 3.6.4. Daher nochmal der Appel, JETZT zu updaten. Außer ihr wollt demnächst eine unschöne Überraschung haben, in Form einer gehackten Joomla Seite und neue Administratoren, eurer Webseite willkommen heißen. In diesem Fall natürlich nicht Updaten ;-). Aber ich hoffe, keiner unserer Leser will dies.

Wer nicht jetzt Aktualisiert, riskiert dass sich Angreifer unberechtigt Admin-Zugriffe ergaunern

Mit den heute veröffentlichten Joomla 3.6.4 werden zwei kritische Sicherheitslücken geschlossen. Durch diese Lücken können sich Angreifer Benutzeraccounts erstellen, die erhöhte Rechte haben. Das heißt im Klartext: der Angreifer kann sich einfach Benutzer mit Super User Rechte erstellen, ohne dafür in den Administrator Bereich zu müssen. Die andere Lücke ermöglicht es den Angreifern, selbst wenn die Neuregistrierung deaktiviert ist, sich neue Accounts anzulegen. Ebenfalls wird in dieser Version ein Fehler in der Zwei-Faktor-Authentifizierung behoben.

Am 25.10.2016, um 16 Uhr deutscher Zeit, erscheint ein Sicherheitsupdate für Joomla, welches auf die Version 3.6.4 laufen wird. Das Update schließt eine sehr krittische Sicherheitslücke. Es ist davon auszugehen, dass innerhalb weniger Stunden nach der Veröffentlichung des Patches die Lücke aktiv ausgenutzt werden wird. Daher die dringende bitte, plant das Update ein und wartet nicht bis zum Wochenende. Zur Vorbereitung bis zur Veröffentlichung am Dienstag  noch ein komplettes Backup eurer Webseite erstellen.

Heute ist das Sicherheitsupdate 3.6.3 erschienen. Das Update behebt unter anderem auch das Problem mit dem Update auf Version 3.6.2. So wurde beim Update, bzw. beim Abschluss des Updates eine weiße Seite (Blank Page) produziert.

Nur einige Stunden nachdem das Sicherheitsupdate 3.6.1 erschienen ist, wurde wegen Probleme während des Updates eine neue Version nachgeschoben. Das Update behebt einige Fehler, die es seit der Version 3.6 vom 12.07.2016 gibt und noch nicht behoben werden konnten.