J3.x

Joomla 3.8.4 Hinweise zu den Security Patches

From Joomla! Documentation

This page is a translated version of the page J3.x:Joomla 3.8.4 Notes about the Security Patches and the translation is 100% complete.

Other languages:
Deutsch • ‎English • ‎français • ‎Nederlands

In Joomla 3.8.4 hat das Joomla Security Strike Team (JSST) damit begonnen, eine Reihe von XSS-Schutz-Patches für das Backend zu implementieren, die sich auf einige Anwendungsfälle auswirken können. Alle diese Punkte wurden durch interne Audits der JSST ermittelt.

Wer ist betroffen?

In Joomla 3.8.4 hat das JSST 2 XSS-Probleme behoben, die dieser Kategorie zugeordnet wurden:

Betroffene Versionen

Allgemeine Informationen

Das gilt nur für die Joomla! Version(en): 3.8.4+

Module Chromes (CVE-2018-6380)

Dieser Patch behebt ein seit langem bestehendes Problem mit dem Modul Chrome, bei dem der Parameter module_tag im System und dem Protostar Template fehlt es an Ausweichmöglichkeiten, was zu einem XSS-Angriff führen könnte. Dieses Problem ist in Joomla 3.8.4 behoben, aber nur für die Kern-Templates. Bitte an den jeweiligen Template-Anbieter wenden, damit dieser das entsprechende Modul Chromes überprüfen kann.

com_fields (CVE-2018-6377)

Dieser Patch behebt ein Problem, bei dem in den com_fields Plugins (wie z.B. einem Checkbox, Radio und Listenfeld) ein XSS-Code in die Optionen Text / Wert eingeben werden kann. Ein Nebeneffekt ist leider, dass nun XSS nicht mehr erlaubt ist. Somit können die com_fields-Titel nicht mehr als html ausgegeben werden.