Die Joomla! 1.0 Sicherheitslücke (und was man dagegen unternehmen kann)
- geschrieben von Gerald Martin
- Freigegeben in Sicherheit
- Gelesen 8519 mal
- Schriftgröße Schriftgröße verkleinern Schrift vergrößern
- Schreiben Sie den ersten Kommentar!
Es pfeifen die Spatzen längst von den Dächern - die alte Joomla!-Version ist nicht mehr sicher. (siehe z.B. joomla.de)
Eine XSS-Lücke (Cross-Site-Scripting) der Kernkomponente com_search (die Volltextsuche) wurde bekannt.
Sämtliche Joomla!-Versionen der 1.0.x-Serie sind davon betroffen.
Da Joomla! 1.0 nicht mehr supportet wird (es gibt keine Patches mehr), rät man von offizieller Stelle zu einer Migration auf die Version 1.5.
Das ist nachvollziehbar, da Joomla! bereits seit Januar 2008 mit der Nachfolgeversion 1.5 das Ende der alten Serie eingeläutet hatte. Im Juni 2009 wurde dann offiziell der Support für Joomla 1.0 beendet (EOL).
Wer - aus welchen Gründen auch immer - heute immer noch mit Joomla! 1.0.x arbeitet, sollte spätestens jetzt einen Umstieg planen und ganz oben auf die Prioritätenliste setzen.
Kurzfristige Maßnahmen
Wenn es dennoch nicht möglich ist, zeitnah Joomla! 1.5 einzusetzen, sollte die Seite zumindest schnellstöglich abgesichert werden, um die Seite weiterhin 24 Stunden online zu betreiben. Die folgende kurze Anleitung setzt grundlegende Kenntnisse in PHP sowie der Serveradministration voraus.
Vorweg sei noch gesagt, dass die Anleitung nicht als dauerhafte Lösung gedacht ist! Sie soll ledigich als minimaler Schutz dienen, damit eine produktive Seite nicht SOFORT per Google-Suche als potentielles Ziel ausgemacht werden kann!
Die angesprochenen Maßnahmen ersetzen kein Upgrade auf die aktuelle Version Joomla! 1.5!
- 0. grundlegendes Absichern
z.B. Verzeichnis- und Dateirechte überprüfen (Vorgehen wie hier - Seite ganz unten) - 1. SEF aktivieren
Suchmaschinenfreundliche URLs bringen nicht nur hinsichtlich der Optimierung Punkte, sondern filtern auch diverse Anfragen über Google aus, die nach Phrasen, wie z.B. "[...]com_content&task=view[...]" suchen. - 2. Generator-Tag entfernen
Bsp: "<meta name="Generator" content="Joomla! - Copyright (C) 2005 - 2007 Open Source Matters. All rights reserved." />"
Der verräterische Generator-Tag im Quelltext der Joomla-Seite offenbart dem Angreifer die alte Joomla!-Version. (Anleitung zum Entfernen hier) - 3. Admin-Bereich mit htaccess-Schutz sichern
Wenn ein Angreifer den Adminbereich (www.meinewebseite.de/administrator/) aufruft -> siehe Screenshot oben, dann verrät allein schon das Layout, dass hier noch eine alte Joomla!-Version zum Einsatz kommt. Das macht die Seite als lohnendes Ziel oder zum Probieren interessant. (Anleitung hier) - 4. Joomla!-Suche abschalten und verbieten
Die bekanntgewordene Lücke betrifft die Komponente für die Suchfunktion com_search. Alle anderen Maßnahmen sind wertlos, solange die Suche noch aktiv ist.
Zuerst sollten alle Aufrufe der Suche (Menülinks, Module, Links im Inhalt) entfernt werden.
Zusätzlichmuss noch der Aufruf der entsprechenden Funktion unterbunden werden.
Das geht elegant per .htaccess-Datei mit einem ReWrite der Parameter.
Alternativ kann auch das Verzeichnis /componentents/com_search/ umbenannt und damit unerreichbar gemacht werden.
Wer noch weitere Tipps für diese Liste hat, darf gerne kommentieren!
Abschließend nochmal: Die Maßnahmen stellen nur einen Übergang dar und sind keine Lösung für den umfassenden Schutz einer alten Joomla-1.0-Installation.