Mellékleteink: HUP | Gamekapocs
Keres

Azonnal frissítsünk minden Joomla-telepítést!

Gálffy Csaba, 2015. december 15. 11:03

Távoli kódfuttatást tesz lehetővé egy, a Joomla-motorban található biztonsági hiba. Gyakorlatilag az összes verzió érintett, a javítást érdemes azonnal telepíteni.

hirdetés

Nyolc éves kritikus hibát javít a Joomla most kiadott frissítése - a rendkívül szűkszavú bejelentés szerint a sebezhetőség a Joomla! CMS összes verziójában megtalálható az 1.5 és a 3.4.5-ös verziószámok között. A javításhoz a 3.4.6-os jelölésű kiadás telepítése javasolt.

A sebezhetőség "magas" súlyossági besorolást kapott, ami a részleteket ismerve teljesen jogos. A motor ugyanis nem szűri megfelelően a böngészőre vonatkozó információkat, így amikor az adatbázisba menti azt, támadhatóvá válik a szerver. Object injection (objektumbeszórás) technikával támadva az adatbázist távoli kódfuttatás érhető el. Ez azt jelenti, hogy egy megfelelően preparált böngészővel (módosított user agent változóval) látogatva meg egy sebezhető Joomla-oldalt, a támadó a szerver fölött átveheti az irányítást és tetszőleges támadó kódot futtathat rajta.

A problémát az teszi különösen súlyossá, hogy a hiba nyilvánosságra került és több száz esetben aktívan használták támadók. A The Register a Sucuri biztonsági szakértőjét, Daniel Cidet idézi: már szombaton tapasztalható volt néhány támadás, mára azonban tömegessé vált. "Ez egy súlyos sebezhetőség, amelyet könnyű kihasználni" - mondja Cid, "a támadó hullámok egyre nagyobbak, gyakorlatilag minden oldalunk és kihelyezett honeypotunk támadás alá került, vagyis valószínűleg minden nyilvános Joomla-oldalt megcéloztak már a támadók."

A Joomla mellett szól, hogy a hiba létezéséről december 13-án értesültek a fejlesztők, 14-én pedig el is készült a javítás. Jellemző, hogy a csapat olyan gyorsan lépett, hogy a sebezhetőség még egyedi CVE-azonosítót sem kapott.

A weboldalak üzemeltetőinak az okozhat fejtörést, hogy nem minden Joomla-verzió migrálható könnyen a javított kiadásra. Ebben az esetben ajánlott az oldalt és az adatbázisokat read-only módra állítani, legalábbis addig, amíg a friss verzió telepítése lezongorázható. A régebbi kiadások ugyanis érdemi támogatást már nem kapnak, így érdemes a főverzióváltást mindenképp elvégezni.

Frissítés: az IT Café hívja fel a figyelmet, hogy a támogatását vesztett verziókhoz is kiadta egyedi jelleggel a javítást a Joomla, az 1.5-ös és 2.5-ös kiadáshoz is elérhetőek a foltok.