Azonnal frissítsünk minden Joomla-telepítést!
Távoli kódfuttatást tesz lehetővé egy, a Joomla-motorban található biztonsági hiba. Gyakorlatilag az összes verzió érintett, a javítást érdemes azonnal telepíteni.
Nyolc éves kritikus hibát javít a Joomla most kiadott frissítése - a rendkívül szűkszavú bejelentés szerint a sebezhetőség a Joomla! CMS összes verziójában megtalálható az 1.5 és a 3.4.5-ös verziószámok között. A javításhoz a 3.4.6-os jelölésű kiadás telepítése javasolt.
A sebezhetőség "magas" súlyossági besorolást kapott, ami a részleteket ismerve teljesen jogos. A motor ugyanis nem szűri megfelelően a böngészőre vonatkozó információkat, így amikor az adatbázisba menti azt, támadhatóvá válik a szerver. Object injection (objektumbeszórás) technikával támadva az adatbázist távoli kódfuttatás érhető el. Ez azt jelenti, hogy egy megfelelően preparált böngészővel (módosított user agent változóval) látogatva meg egy sebezhető Joomla-oldalt, a támadó a szerver fölött átveheti az irányítást és tetszőleges támadó kódot futtathat rajta.
A problémát az teszi különösen súlyossá, hogy a hiba nyilvánosságra került és több száz esetben aktívan használták támadók. A The Register a Sucuri biztonsági szakértőjét, Daniel Cidet idézi: már szombaton tapasztalható volt néhány támadás, mára azonban tömegessé vált. "Ez egy súlyos sebezhetőség, amelyet könnyű kihasználni" - mondja Cid, "a támadó hullámok egyre nagyobbak, gyakorlatilag minden oldalunk és kihelyezett honeypotunk támadás alá került, vagyis valószínűleg minden nyilvános Joomla-oldalt megcéloztak már a támadók."
Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?
A Joomla mellett szól, hogy a hiba létezéséről december 13-án értesültek a fejlesztők, 14-én pedig el is készült a javítás. Jellemző, hogy a csapat olyan gyorsan lépett, hogy a sebezhetőség még egyedi CVE-azonosítót sem kapott.
A weboldalak üzemeltetőinak az okozhat fejtörést, hogy nem minden Joomla-verzió migrálható könnyen a javított kiadásra. Ebben az esetben ajánlott az oldalt és az adatbázisokat read-only módra állítani, legalábbis addig, amíg a friss verzió telepítése lezongorázható. A régebbi kiadások ugyanis érdemi támogatást már nem kapnak, így érdemes a főverzióváltást mindenképp elvégezni.
Frissítés: az IT Café hívja fel a figyelmet, hogy a támogatását vesztett verziókhoz is kiadta egyedi jelleggel a javítást a Joomla, az 1.5-ös és 2.5-ös kiadáshoz is elérhetőek a foltok.