Joomla 1.5 ist tot, es lebe Joomla 2.5

Veröffentlicht am mit jkdv
Obwohl die Versionsnummer es nicht vermuten ließ, handelt es sich bei der im Januar 2011 erstmals as ’stable‘ erschienenen Version 1.6 um einen Meilenstein in der Entwicklung, da Joomla damit komplett überarbeitet wurde. Während sich die Versionen ab 1.6 relativ problemlos auf die aktuelle Version (2.5.6, Stand Juli 2012) aktualisieren lassen, trifft dies für die Version 1.5 nicht zu. Warum sollte man trotzdem auf die neue Version umsteigen? Seit April 2012 wird Joomla 1.5.x nicht mehr weiterentwickelt – keine neuen Features, kein Schließen von Sicherheitslücken. Natürlich hat dies auch auf die installierten Komponenten und Plugins Auswirkungen: Auch diese werden kaum noch weiterentwickelt. Die Version 2.5 ist die neue Long Term Support (LTS) Version, die mindestens bis Ende 2013 unterstützt und weiterentwickelt wird.

Die kritischen Sicherheitslücken in Joomla 1.5

Folgend eine Liste aller veröffentlichten kritischen Sicherheitslücken in den Joomla Versionen 1.5.0 bis 1.5.25:
  • Sicherheitslücke im XML-RPC/Blogger API Plugin, welche nicht berechtigten Nutzern das Bearbeiten, Veröffentlichen und Löschen von Artikeln erlaubt. [Joomla 1.5.1]
  • Kritische Sicherheitslücke in der Passwort Erinnerungsfunktion, wodurch es möglich war, das Passwort des Administrators zu ändern. [Joomla 1.5.5]
  • Schwache Generierung der Zufallszahlen, wodurch alle verwendeten Tokens unter Umständen erraten werden konnten. [Joomla 1.5.6]
  • Fehler in der Eingabe-Validierung der Funktion JRequest::setVar, wodurch Variablen eingeschleust werden konnten. [Joomla 1.5.6]
  • Sicherheitslücke, mit der die komplette Verzeichnisstruktur des Servers aufgedeckt werden konnte. [Joomla 1.5.8]
  • Sicherheitslücke, durch die es möglich war, Dateien ohne Login hochzuladen und zu löschen. [Joomla 1.5.12]
  • Der Passwort Wiederherstellungstoken wurde unverschlüsselt in der Datenbank gespeichert. In Kombination mit einer SQL Injektionslücke (zum Beispiel in einer Drittkomponente) wäre es möglich gewesen, die Passwörter aller registrierten Nutzer zu ändern. [Joomla 1.5.15]
  • Schwäche bei der Generierung des Passwort-Reset-Tokens. [1.5.24]
(Quelle: http://www.aboutcms.de/sicherheit/ist-joomla-sicher-eine-uebersicht-aller-entdeckten-sicherheitslucken-in-joomla-1-5/)   Wichtige Neuerungen in 2.5  gegenüber 1.5:
  • Neue Suchfunktionalität mit Auto-Vervollständigung und Suchwort-Vorschlägen
  • Unterstützung unterschiedlicher Datenbanken: MySQL und MS SQL ist implementiert, PostgreSQL, Oracle, SQLite und PDO Treiber folgen
  • Update-Benachrichtigung für Joomla und installierte Erweiterungen, falls neuere Versionen vorhanden sind
  • Erweiterung der Benutzerverwaltung: Benutzergruppen können selber definiert und mit Rechten ausgestattet werden.
  • Frei definierbare Kategorien möglich
  • Verbesserung der Installationsroutine von Dritt-Anbieter-Anwendungen (Third Party Extensions)
  • Verbesserung bei der Mehrsprachigkeit von Webseiten
  • Erweiterte Moduloptionen, z. B. Terminierung
  • Unterstützung suchmaschinenfreundlicher Templates
  Am 12.  Juli wurde die erste Alpha-Version von  Joomla 3.0 veröffentlicht. Die Entwicklung geht also rasant weiter. Wenn Sie noch Joomla v1.5… einsetzten, helfen wir Ihnen gern bei der Umstellung. Diese gilt auch für größere Sites, Plugins uind Individualprogrammierung. Kontaktieren Sie uns!