Am 12.02.2019 hat das Joomla!-Projekt die Version Joomla! 3.9.3 zum Download freigegeben. Dieses Update behebt einige Bugs sowie 6 Sicherheitslücken, die als gering eingestuft wurden. Bei unseren Vertragskunden (Kunden mit einem Joomla-Wartungsvertrag) werden wir bis zum 13.02.2019 alle Updates vorgenommen haben.

Weitere Details finden Sie auf der offiziellen Joomla!-Website.

Besondere Hinweise:

Seit Joomla 3.9.3 wird Joomla in den Standarddateien htaccess.txt und web.config.txt mit zusätzlichen Sicherheitsmaßnahmen ausgeliefert. Diese Verhärtungen deaktivieren die sogenannte MIME-Typ-Sniffing-Funktion in Webbrowsern. Das Sniffing führt zu speziellen Angriffsvektoren, bei denen Skripts in normalerweise harmlosen Dateiformaten (z. B. Bildern) ausgeführt werden, was zu Cross-Site-Scripting-Schwachstellen führt.

Die Sicherheitsteams empfehlen, die erforderlichen Änderungen manuell an den vorhandenen .htaccess- oder web.config-Dateien vorzunehmen, da diese Dateien nicht automatisch aktualisiert werden können.

Änderungen für vorhandene .htaccess-Dateien:

Folgende Zeilen einfügen vor "## Mod_rewrite in use.":

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

 

Änderungen für web.config

Folgende Zeilen einfügen direkt nach "</rewrite>":

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>