Veel üks tont: Joomla! 1.6.0 … 3.6.4 kriitiline turvauuendus

Peeter Marvet
Jaga:

Antud blogipostitus on 94 kuud vana ning ei pruugi olla enam ajakohane.

TÄIENDATUD: 27. oktoobri seisuga on veebis olemas täpsed kirjeldused kasutaja registreerimiseks admin-õigustes (huvilised saavad registreerimise osa läbimängu jälgida ka taikeelse video vahendusel). Öösel hakkasid tulema ka esimesed neis kirjeldatud mustrile vastavad päringug. Run, Forrest, run!

Halloween on sedapuhku varajane ja aastaid koodis vedelenud tondid käivad hoogsalt rahvast hirmutamas.

Tänase kolli toob meieni Joomla! arendaja Demis Palma (loe lähemalt:How I found a Joomla vulnerability), kellele veidi aega tagasi hakkas silma koodijupp, mis oli kahtlaselt sarnane kahes erinevas kasutajatega tegelevas kontrolleris. Arvatavasti oli koodi korrastatud ja unustatud vana versioon eemaldada, sellele pääseb aga vähese vaevaga ligi ja tulemuseks on võimalus registreerida kasutajaid ka saidis, kus see on omaniku poolt keelatud.

Demis’e väitel pärineb kood Joomla! 1.6 aegadest – aga versioonis alates 3.4.4 parandati üks varasem bugi, mille tulemusena unar-kood kasutatvaks muutus (hmm, kas see oli pahatahtlik bugfix?).

Niisiis saab paikamata 1.6…3.6.4 Joomla! puhul triviaalse trikiga ligi “surnud koodile” ja uusi kasutajaid registreerida. Isegi väikeste õigustega registreeritud kasutaja on aga täiendav turvarisk, sest kohati õnnestub teiste bugide tõttu tavakasutaja administraarotiks [käsi ei tõuse seda näpukat parandama] ülendada või siis kasutada ära mõne lisamooduli turva-auku, mis ei kontrolli nt faili üleslaadimisel üldse õigust seda teha.

Sedapuhku avastas aga konto loomise augu lappimisega tegelenud Davide Tampellini lisaks teise: liigsete õiguste andmine mille lühike selgitus ütleb, et “vigane andmete filtreerimine lubab registreerida kõrgemata õigustega kasutaja”. Kuigi täpsem selgitus ei ole hetkel turvakaalutlustel saadaval, võib selle kokku võtta nii:

Kui sa ei ole oma Joomla! saiti uuendanud, siis arvesta, et ilmselt tekivad peagi esimesed reaalsed ründed mis lubavad kellel tahes ennast administraatorina registreerida.

Nagu Sucuri eile õhtul teatas vaatasid nad muudatuse koodi üle, selgitasid välja võimalikud ründevektorid ja lisasid asjakohased reeglid oma Sucuri Firewall teenusele.

Mida siis teha?

  • kui sul on Joomla! paigaldatud meie Zone+ abil ja kõik uuendused lubatud, siis peaks sait olema uuendatud 3.6.5 peale – aga kuna paigaldamise järel tehtud muudatused võivad vahel uuendamist takistada, siis proovi Minu Zones Zone+ lehel vastava rakenduse juures Uuenda nuppu ja kui see ei aita, kirjuta meile info@zone.ee

joomla-update

  • kui sul on Zone+ abil paigaldatud varasem versioon ja lubatud väikesed uuendused (st tehakse 3.5.1›3.5.2, aga mitte 3.5.x›3.6.x uuendust) – või oled valinud käsitsi uuendamise – siis tuleks kindlasti sait ülalmainitud viisil kiiremas korras Joomla! 3.6.5 peale uuendada ja soovitavalt lubada kõik uuendused, seda saab teha pildil näha oleva Automaatsed uuendused valiku alt:

automaatsed-uuendused

  • kui sul on ise paigaldatud Joomla! – siis tuleks administraatorina sisse logida (enne, kui neid saab palju olema…) ning teha versioonile vastaval moel uuendus, seejärel (või enne) võib ka kirjutada info@zone.ee ja paluda meil olemasolev rakendus Zone+ alla importida ning lubada kõik uuendused, sest siis on edaspidi vähem põhjust paanikaks 🙂

Kui vajad Joomla! osas nõu või tahad uudistega kursis olla, siis Eesti Joomla! kommuuni leiad Eraser’ist.

Joomla! uuendamine Zone+ abil

Kuigi on võimalik uuendada ka 3.4.8 peale siis juhin tähelepanu, et erinevalt nt WordPress’ist ei tule Joomla! varasematele versioonidele enam turvapaikasid ja uuendada tuleks kindlasti 3.6.5 peale.

Joomla! uuendamine rakenduse enda vahenditega

Kui välja arvata vajadus korduvalt sisse logida, siis sujub ka see igati “next-next-next” meetodil.

Kommentaarid

1 kommentaar

Kommentaarid suletud.

Populaarsed postitused

.COM domeen kallineb ka tänavu

Jaanus Putting
Ehkki oleme kolm viimast suve siinsamas blogis kirjutanud, et .com domeeni hinnatõusule saabub 2024. aastal paus, on selle tippdomeeni register otsustanud...

Pilveservereid saab nüüd jagada ja kustutada

Ingmar Aasoja
Läinud kuul sai põhjaliku uuenduse Minu Zone halduspaneel, mis hõlmas vastavalt klientide tagasisidele näiteks ka uusi funktsionaalsusi pilveserverite...

Kuidas alustada composer.phar kasutamist

Ingmar Aasoja
Veel mõnda aega tagasi ei olnud PHP jaoks ühtset moodust teekide paigaldamiseks. Olenevalt raamistikust olid lahendused erinevad. See muutus koos Composer'i...

"Pilve pole olemas. On lihtsalt kellegi teise arvuti."

Ardi Jürgens
Mis ikkagi on pilveteenus, kuidas see keerukas süsteem töötab ning kuidas me tulime mõne nädala eest toime ühe jõudlust pärssinud ootamatusega....