Veel üks tont: Joomla! 1.6.0 … 3.6.4 kriitiline turvauuendus

Turvaprobleem lubab kurjategijal lisada saidile administraatori-õigustes kasutajaid.

TÄIENDATUD: 27. oktoobri seisuga on veebis olemas täpsed kirjeldused kasutaja registreerimiseks admin-õigustes (huvilised saavad registreerimise osa läbimängu jälgida ka taikeelse video vahendusel). Öösel hakkasid tulema ka esimesed neis kirjeldatud mustrile vastavad päringug. Run, Forrest, run!

Halloween on sedapuhku varajane ja aastaid koodis vedelenud tondid käivad hoogsalt rahvast hirmutamas.

Tänase kolli toob meieni Joomla! arendaja Demis Palma (loe lähemalt:How I found a Joomla vulnerability), kellele veidi aega tagasi hakkas silma koodijupp, mis oli kahtlaselt sarnane kahes erinevas kasutajatega tegelevas kontrolleris. Arvatavasti oli koodi korrastatud ja unustatud vana versioon eemaldada, sellele pääseb aga vähese vaevaga ligi ja tulemuseks on võimalus registreerida kasutajaid ka saidis, kus see on omaniku poolt keelatud.

Demis’e väitel pärineb kood Joomla! 1.6 aegadest – aga versioonis alates 3.4.4 parandati üks varasem bugi, mille tulemusena unar-kood kasutatvaks muutus (hmm, kas see oli pahatahtlik bugfix?).

Niisiis saab paikamata 1.6…3.6.4 Joomla! puhul triviaalse trikiga ligi “surnud koodile” ja uusi kasutajaid registreerida. Isegi väikeste õigustega registreeritud kasutaja on aga täiendav turvarisk, sest kohati õnnestub teiste bugide tõttu tavakasutaja administraarotiks [käsi ei tõuse seda näpukat parandama] ülendada või siis kasutada ära mõne lisamooduli turva-auku, mis ei kontrolli nt faili üleslaadimisel üldse õigust seda teha.

Sedapuhku avastas aga konto loomise augu lappimisega tegelenud Davide Tampellini lisaks teise: liigsete õiguste andmine mille lühike selgitus ütleb, et “vigane andmete filtreerimine lubab registreerida kõrgemata õigustega kasutaja”. Kuigi täpsem selgitus ei ole hetkel turvakaalutlustel saadaval, võib selle kokku võtta nii:

Kui sa ei ole oma Joomla! saiti uuendanud, siis arvesta, et ilmselt tekivad peagi esimesed reaalsed ründed mis lubavad kellel tahes ennast administraatorina registreerida.

Nagu Sucuri eile õhtul teatas vaatasid nad muudatuse koodi üle, selgitasid välja võimalikud ründevektorid ja lisasid asjakohased reeglid oma Sucuri Firewall teenusele.

Mida siis teha?

  • kui sul on Joomla! paigaldatud meie Zone+ abil ja kõik uuendused lubatud, siis peaks sait olema uuendatud 3.6.5 peale – aga kuna paigaldamise järel tehtud muudatused võivad vahel uuendamist takistada, siis proovi Minu Zones Zone+ lehel vastava rakenduse juures Uuenda nuppu ja kui see ei aita, kirjuta meile info@zone.ee

joomla-update

  • kui sul on Zone+ abil paigaldatud varasem versioon ja lubatud väikesed uuendused (st tehakse 3.5.1›3.5.2, aga mitte 3.5.x›3.6.x uuendust) – või oled valinud käsitsi uuendamise – siis tuleks kindlasti sait ülalmainitud viisil kiiremas korras Joomla! 3.6.5 peale uuendada ja soovitavalt lubada kõik uuendused, seda saab teha pildil näha oleva Automaatsed uuendused valiku alt:

automaatsed-uuendused

  • kui sul on ise paigaldatud Joomla! – siis tuleks administraatorina sisse logida (enne, kui neid saab palju olema…) ning teha versioonile vastaval moel uuendus, seejärel (või enne) võib ka kirjutada info@zone.ee ja paluda meil olemasolev rakendus Zone+ alla importida ning lubada kõik uuendused, sest siis on edaspidi vähem põhjust paanikaks 🙂

Kui vajad Joomla! osas nõu või tahad uudistega kursis olla, siis Eesti Joomla! kommuuni leiad Eraser’ist.

Joomla! uuendamine Zone+ abil

Kuigi on võimalik uuendada ka 3.4.8 peale siis juhin tähelepanu, et erinevalt nt WordPress’ist ei tule Joomla! varasematele versioonidele enam turvapaikasid ja uuendada tuleks kindlasti 3.6.5 peale.

Joomla! uuendamine rakenduse enda vahenditega

Kui välja arvata vajadus korduvalt sisse logida, siis sujub ka see igati “next-next-next” meetodil.

Üks mõte “Veel üks tont: Joomla! 1.6.0 … 3.6.4 kriitiline turvauuendus” kohta

Kommenteerimine on suletud