Es pfeifen die Spatzen längst von den Dächern - die alte Joomla!-Version ist nicht mehr sicher. (siehe z.B. joomla.de)

Eine XSS-Lücke (Cross-Site-Scripting) der Kernkomponente com_search (die Volltextsuche) wurde bekannt.

Sämtliche Joomla!-Versionen der 1.0.x-Serie sind davon betroffen.

Da Joomla! 1.0 nicht mehr supportet wird (es gibt keine Patches mehr), rät man von offizieller Stelle zu einer Migration auf die Version 1.5.

Das ist nachvollziehbar, da Joomla! bereits seit Januar 2008 mit der Nachfolgeversion 1.5 das Ende der alten Serie eingeläutet hatte. Im Juni 2009 wurde dann offiziell der Support für Joomla 1.0 beendet (EOL).

Wer - aus welchen Gründen auch immer - heute immer noch mit Joomla! 1.0.x arbeitet, sollte spätestens jetzt einen Umstieg planen und ganz oben auf die Prioritätenliste setzen.

Kurzfristige Maßnahmen

Wenn es dennoch nicht möglich ist, zeitnah Joomla! 1.5 einzusetzen, sollte die Seite zumindest schnellstöglich abgesichert werden, um die Seite weiterhin 24 Stunden online zu betreiben. Die folgende kurze Anleitung setzt grundlegende Kenntnisse in PHP sowie der Serveradministration voraus.

Vorweg sei noch gesagt, dass die Anleitung nicht als dauerhafte Lösung gedacht ist! Sie soll ledigich als minimaler Schutz dienen, damit eine produktive Seite nicht SOFORT per Google-Suche als potentielles Ziel ausgemacht werden kann!
Die angesprochenen Maßnahmen ersetzen kein Upgrade auf die aktuelle Version Joomla! 1.5!

1. 0. grundlegendes Absichern
   z.B. Verzeichnis- und Dateirechte überprüfen (Vorgehen wie hier - Seite ganz unten)
2. 1. SEF aktivieren
   Suchmaschinenfreundliche URLs bringen nicht nur hinsichtlich der Optimierung Punkte, sondern filtern auch diverse Anfragen über Google aus, die nach Phrasen, wie z.B. "[...]com_content&task=view[...]" suchen.
3. 2. Generator-Tag entfernen
   Bsp: "<meta name="Generator" content="Joomla! - Copyright (C) 2005 - 2007 Open Source Matters. All rights reserved." />"
   Der verräterische Generator-Tag im Quelltext der Joomla-Seite offenbart dem Angreifer die alte Joomla!-Version. (Anleitung zum Entfernen hier)
4. 3. Admin-Bereich mit htaccess-Schutz sichern
   Wenn ein Angreifer den Adminbereich (www.meinewebseite.de/administrator/) aufruft -> siehe Screenshot oben, dann verrät allein schon das Layout, dass hier noch eine alte Joomla!-Version zum Einsatz kommt. Das macht die Seite als lohnendes Ziel oder zum Probieren interessant. (Anleitung hier)
5. 4. Joomla!-Suche abschalten und verbieten
   Die bekanntgewordene Lücke betrifft die Komponente für die Suchfunktion com_search. Alle anderen Maßnahmen sind wertlos, solange die Suche noch aktiv ist.
   Zuerst sollten alle Aufrufe der Suche (Menülinks, Module, Links im Inhalt) entfernt werden.
   Zusätzlichmuss noch der Aufruf der entsprechenden Funktion unterbunden werden.
   Das geht elegant per .htaccess-Datei mit einem ReWrite der Parameter.
   Alternativ kann auch das Verzeichnis /componentents/com_search/ umbenannt und damit unerreichbar gemacht werden.

Wer noch weitere Tipps für diese Liste hat, darf gerne kommentieren!

Abschließend nochmal: Die Maßnahmen stellen nur einen Übergang dar und sind keine Lösung für den umfassenden Schutz einer alten Joomla-1.0-Installatio.

Kommentare (5)

1  Endlich mal etwas Konstruktives Geschrieben von: Klaus , am 07.01.2011 21:06 ... unter all den arroganten Aussagen zu dem Thema sticht Dein Beitrag äußerst wohltuend hervor, da er einen Weg aufzeigt, anstatt sich darauf zu beschränken, über die ach so dummen 1.0.x-User zu schnoddern.    Wer jetzt noch Joomla 1.0.x einsetzt, der fällt m.E. in eine von zwei Gruppen:  1. die Unwissenden oder Renitenten, denen mit einem Stups in Richtung 1.5 durchaus geholfen wäre,  2. die, die aufgrund umfangreicher Veränderungen nicht einfach auf 1.5 migrieren können oder bisher wollten.    Insofern ist die Aussage mit den 24 Stunden sicher auch nicht ganz realistisch.    All Deine genannten Punkte sind hilfreich und sinnvoll. Ich hätte an vielleicht an erster Stelle SEF genannt. Zu Punkt 4 würde ich ergänzen wollen, dass man die Komponente und das Such-Modul auch gänzlich löschen könnte, um sicher zu gehen.    Viele Grüße,  Klaus Melden

2  Aber Dein fossiles Akocomment ... Geschrieben von: Klaus , am 07.01.2011 21:20 ... dürfte incl. seiner nur zu 5% lösbaren Sicherheitsabfragen und 10 Minuten Wartezeit zwischen zwei Kommentaren auch sehr, sehr gerne auf dem Müllhaufen der Geschichte landen. ;) Auch wenn es die Version von Visualclinic ist.    Ermutigt mich nicht zu weiteren Kommentaren hier.    Viele Grüße,  Klaus Melden

5  @gorgonz Geschrieben von: Gerald Martin , am 10.01.2011 11:04 Danke für Deine Mühe!  Der Hinweis für das Entfernen des Generator-Tags reicht aber IMHO völlig aus. Habe es selbst erfolgreich umgesetzt.    In Joomla! 1.5 kommt ein völlig neues Framework zum Einsatz, daher ist des Entfernen des Tags mit J! 1.5 und J! 1.0 nicht vergleichbar.    Wie es geht, steht u.a. auch in meiner 'persönlichen Security Checklist' --> http://www.germanis.de/meine-ganz-persoenliche-security-checklist.html Melden

Kommentar schreiben
Name:
e-mail
Homepage
Titel:
Kommentar:
Sicherheitscode:*

Powered by AkoComment Tweaked Special Edition v.1.4.6
AkoComment © Copyright 2004 by Arthur Konze - www.mamboportal.com
All right reserved