THEMA:

Soeben auf Mattermost gesehen:
Am Donnerstag um 16:00 UTC (also 17 Uhr MEZ) wird ein kritisches Joomla 4 Update erscheinen, das unbedingt sofort eingespielt werden muss!

Gestern abend alles eingespielt. Mir war erst bei der Diskussion auf in der D-A-CH-Gruppe auf Facebook aufgefallen, dass die Community die Änderung aller Passwörter in der configuration.php empfiehlt. Dort steht wörtlich:Nach dem Update empfehlen wir dringend, die Passwörter für alle Anmeldeinformationen zu erneuern, die in der globalen Konfiguration gespeichert sind, nämlich:

• Datenbank
• SMTP
• Redis
• HTTP-Proxy

Danke für den Hinweis. Ich finde es äusserst fragwürdig, wenn so wichtige Informationen nur «auf Facebook diskutiert» werden! Angenommen, die Information ist wichtig, dann gehört sie aktiv und über offizielle Kanäle kommuniziert!

Die Diskussion ging aufgrund dieser Publikation los.
www.joomla.de/news/joomla/826-joomla-4-2-8-sicherheits-release
 

Hoi Christof. Da müssen wir uns selber an der Nase nehmen. Die Massnahme wurde sowohl unter www.joomla.org/announcements/release-new...ecurity-release.html als auch unter www.joomla.de/news/joomla/826-joomla-4-2-8-sicherheits-release ganz klar kommuniziert. Ich kann nur für mich reden: Ich hatte die Meldung wirklich zu wenig genau gelesen - bzw. sah den Termin und plante die Updates. Wie üblich habe ich aber vorher rasch in Facebook reingeschaut, weil - wenn das Update schiessen sollte - da die ersten Rückmeldungen kommen - und da hat das jemand aufgegriffen.

Matthias schrieb:

Da müssen wir uns selber an der Nase nehmen.
 

Genau das meine ich! joomla.de ist uns diesbezüglich gleich mehrere Nasenlängen voraus! Vom Security Update erfahren wir über einen Forumsbeitrag von Chris, der diese Info auf «Mattermost» gelesen hat (nebenbei: was ist «Mattermost»?)... Es gibt so viele Kanäle (Facebook, XING, LinkedIn, Github, Mattermost, ... und was auch immer. Man verzettelt sich total. Ich kann und will mich nicht den ganzen Tag in sozialen Medien aufhalten und an x Orten nach möglicherweise relevanten Informationen suchen. Ein Hinweis in einem Forum genügt meiner Meinung nach auch nicht, wenn die Information wirklich wichtig ist. Nicht alle haben die Forums-Abo-Einstellungen so definiert, dass man eine E-Mail-Benachrichtigung bekommt.

Ich rate dazu sich in der deutschen Community zu registrieren:
forum.joomla.de/
Dort dann die Foren "Neuigkeiten zu Joomla-Versionen" und "Sicherheit" (Version 4, ggf. auch noch 3) zu abonnieren. Dann verpasst man mit Sicherheit keine wichtigen Infos.
In dem Forum tummeln sich die meisten bekannten Namen aus der Szene, inklusive Mitglieder des Security-Teams.
Insbesondere Moderatoren anderer Foren sollten sich breit informieren, damit sie rechtzeitig wichtige Infos auch z.B. hier posten/verteilen können. Dann ist man nicht abhängig von Usern, die zufällig irgendwo was lesen.

Weiterhin ist es so, das viele Hoster direkt beim Joomla-Security-Team registiert/gemeldet sind (wir natürklich auch). Insbesondere bei Core-Hacks und teilweise auch bei anderen Erweiterungen verteilt das Security-Team Firewall-Regeln (meist für mod_security2), die diese Hoster dann nutzen können. So konnten wir beispielsweise schon 5 min nach Veröffentlichung des Patches alle unsere Server zentral gegen diese Lücke schützen. Ich denke, andere angeschlossene Provider werden das ähnlich handhaben.

Bin mir gerade nicht ganz sicher, ob man die Security-Meldungen direkt abonnieren kann. Einfach mal bei David Jardin (Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!) bei Bedarf nachfragen (und schönen Gruß ausrichten:-)

Habe gerade noch was gefunden:

So schlecht war der Joomlaverband Schweiz doch gar nicht!

Im Newsletter vom 13.02.2023 17:41 wurde, mit Link zur Information von joomla.org, auf den Update hingewiesen.

Als Ergänzung zu flotte's Rat sich bei joomla.de zu registrieren, hilft es auch sich beim Joomlaverband Schweiz zu engagieren und registrieren.

King schrieb:

So schlecht war der Joomlaverband Schweiz doch gar nicht!
 

Danke für diese milde Beurteilung! Trotzdem bin ich (als Präsident) der Meinung, dass wir ein gewisses Verbesserungspotential haben. Derart wichtige Informationen wie die «dringende Empfehlung, die Passwörter zu ändern» gehören direkt in den Newsletter. Ich muss nämlich zugeben: ich habe keinen der beiden Links zu den Informationen auf joomla.org und joomla.de angeklickt. Warum auch? Die (vermeintlich) entscheidende Information, ein kritisches Sicherheitsupdate zeitnah zur Veröffentlichung zu installieren, glaubte ich verstanden zu haben.

Ich habe also dazugelernt und werde mich dafür einsetzen, dass wir im Vorstand uns in Zukunft noch besser informieren. Und diese Informationen zielgerichtet weitergeben. Wenn man solche Informationen nur in den Sozialen Medien finden würde, täte mich das sehr stören.

Die Empfehlung, sich beim Joomlaverband Schweiz zu engagieren und zu registrieren, kann ich nur unterstützen. Ob man das zusätzlich auch noch bei joomla.de tut, wird eines Tages hinfällig sein. Sobald dereinst die Fusion joomla.de und joomla.ch vollzogen ist.

Meine 5 cent: Die Musik spielt heutzutage ganz klar auf Mattermost . So wie sie früher auf Glip gespielt hat. Wer informiert sein will, was läuft in der Joomla-Welt, macht es dort.