Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties
Submitter: Tuvow

Het contentmanagementsysteem Joomla is kwetsbaar voor remote code execution. Gebruikers van versies 1.5 tot 3.4.5 wordt aangeraden om een update uit te voeren. Er wordt door aanvallers al gebruikgemaakt van de kwetsbaarheid.

Joomla! fpaHet beveiligingslek in de populaire contentmanagementsoftware werd opgemerkt door beveiligingsbedrijf Sucuri. Sites die van de software gebruikmaken kunnen door een aanvaller worden gebruikt om verkeer naar willekeurige sites om te leiden of kwaadaardige code uit te voeren. Het opensourceproject achter Joomla heeft het lek gedicht in versie 3.4.6, deze is via een update beschikbaar.

De kwetsbaarheid, die door Sucuri als zero day wordt beschouwd, maakt gebruik van object injection via de http user agent. De browser maakt hiervan gebruik om informatie aan de web server door te geven waarmee deze passende content kan tonen, gebaseerd op de software van de gebruiker. Door de browser meegestuurde informatie aan te passen kan een aanvaller code uitvoeren op de kwetsbare Joomla-sites.

Volgens Sucuri worden er op dit moment al op grote schaal aanvallen uitgevoerd. Gezien het grote aantal   Joomla-sites is het voor aanvallers aantrekkelijk om de kwetsbaarheid zo breed mogelijk in te zetten.

Moderatie-faq Wijzig weergave

Reacties (55)

Er wordt aangeraden te updaten.. Maar vergeet niet dat oude websites met joomla 1.5 een hele migratie, naar de nieuwe versies, moeten maken + over moeten naar een nieuwe layout om goed te blijven werken.
Voor hosting providers Apache httpd.conf

<Location />
BrowserMatchNoCase JDatabaseDriverMysqli bad_user
deny from env=bad_user
</Location>

En dan Apache opnieuw opstarten

[Reactie gewijzigd door DJMaze op 15 december 2015 17:28]

Er zijn wel onofficiële patches beschikbaar voor Joomla 1.5 en 2.5.

https://docs.joomla.org/S...s_for_Joomla_EOL_versions
En een scanner voor deze exploit kan gevonden worden op https://scan.patrolserver.com/joomla/CVE-2015-8562 (Alsook het CVE-nummer: CVE-2015-8562). Het is een scanner die checkt als de data-injectie in de session tabel werkt (Deel 1 van deze vulnerability en ook waarvoor gepatch werd in 3.4.6). Het probleem echt exploiteren doet het niet (zoals je in je server logs zal merken)
Ja alhoewel voor de oudere versies (zoals 1.5) de informatie erg beperkt is.

De "read more info here" linkt naar een pagina waar als fix staat "update to 3.4.6 en in de zip zit 1 bestand (session.php). Gok dat je die (gewoon) moet vervangen.
Maar waarom zou je überhaupt nog op versie 1.5 (willen) zitten? Dat soort dingen zouden per wet verboden moeten zijn, enorm gigantisch veiligheidslek... en daar staan dan je gegevens ook tussen met een beetje pech!!

[Reactie gewijzigd door ToySoldier1992 op 15 december 2015 11:47]

Tja, kom het vaak genoeg tegen. Meestal simpel gevalletje 'slimme buurjongen maakt website voor n00b-buurman'. En vervolgens wordt er geen onderhoud meer gepleegd.
Dat is dus 1 van de grote problemen met o.a. Joomla. Zeker met custom plugin's en modules. Installatie wordt gedaan en er vindt geen update meer plaats. Mensen vergeten dat ieder systeem onderhoud nodig heeft. Ook een CMS.
Is geen probleem van Joomla, geldt voor ALLE systemen.
Is geen probleem van Joomla, geldt voor ALLE systemen.
Staat ook als laatste zin :)
Ik reageerde waarschijnlijk op een andere post, zie het zo niet staan ;), Maar je hebt gelijk.
Komt trouwens volgende week weer een patch uit voor Joomla (dus al die gasten die op kerstvakantie zijn hebben een probleem).
Nee klopt, en dát zou dus niet moeten kunnen imho. Het zijn wel sites waar mensen (helaas) jan en alleman gegevens toevoegen aan de eigenaren, met alle gevolgen van dien..
Helemaal mee eens, maar soms kan je legacy websites niet 123 omzetten. Daarnaast, zoals hieronder ook is aangegeven, soms is er 'ooit' iets gemaakt (niet perse door een neefje trouwens, juist custom components/modules)) en nooit afgesproken om dit te laten updaten (of de wil om daarvoor te betalen).

Ik probeer het niet goed te praten, maar ik kom ook nog WordPress websites tegen die op 3.x draaien (en die kan je echt probleemloos updaten in de regel).

Bij Joomla specifiek is denk ik het probleem dat destijds de oogaanschijnlijk simpele stap van 1.5 naar 2 al complete herbouw betekende (in veel gevallen), dus een hoop mensen zullen hebben gedacht daar wachten we dan even mee. Joomla bood ook geen eigen conversie tools, dus mogelijk zijn een aantal Joomla ontwikkelaars vervolgens overgestapt naar andere systemen omdat je je niet 2x wil branden aan dat soort zaken.

Daarmee wil ik het zeker niet goedpraten, maar dat het voorkomt is niet zo heel bijzonder.

Ik heb je "bij wet verbieden" maar even terzijde gelegd. Als je website software gebruikt van 5 jaar oud moet je gestraft, maar je mag wel in een 20 jaar oude auto rijden? Of euh (... vul zelf een leuk voorbeeld in). Lang niet alle websites slaan gegevens van gebruikers op, er zijn zat Joomla installaties die van die "digitale folders" laten zien met "over ons" "het team" "wat we doen" etc .. . worst case is dat om zeep, maar als er een gat in een website zit houdt dat niet direct in dat er een consumenten risico ligt. Je trekt het beetje uit proportie.
Dan had je dat toen al moeten doen, er is namelijk een rede waarom er updates worden uitgebracht. En op gegeven moment kan je gewoon niet meer van versie 1.x naar versie 3.x.x dit is namelijk voor de ontwikkelaars gewoonweg niet haalbaar.

Verder als je het toen al had gedaan had het nu een kwestie geweest van een update runnen.
Vanaf versie 1.x was er geen updatepad naar de volgende versie. Er was wel een soort van tooltje waarmee je wat gegevens kon overzetten maar door de compleet andere structuur en andersoortige templates hebben heel veer mensen de oude versie maar laten staan.

Je wil denk ik niet weten hoeveel verenigingen, basisscholen, peuterspeelzalen enz. nog de oude versie gebruiken. Ooit eens opgezet door een welwillende ouder en daarna nooit meer bijgewerkt...
Dat is vervelend, echter dingen kosten nu eenmaal geld wanneer je het niet zelf kan doen. En doordat mensen niet weten / snappen hoe het werkt betekend niet dat het dan maar gratis hoeft gedaan te worden.

Als ik mijn auto naar de garage breng met motormanagement storing dan verwacht ik ook niet dat het gratis opgelost wordt omdat ik het niet snap.

Het punt is gewoon net als bij windows updates dat het gedaan moet worden om je website / server / computer veilig te houden, wanneer je dit niet op tijd doet moet je niet later gaan roepen dat nu wel heel veel kost om het te fixen.

Daarnaast zijn er ook nog onofficiële updates: https://docs.joomla.org/S...s_for_Joomla_EOL_versions

[Reactie gewijzigd door xleeuwx op 15 december 2015 11:32]

Maar een Windows update draai je, waarna Windows nog steeds werkt.
Een Joomla update draai je en er werkt in de praktijk heel veel niet meer. Is allemaal zelf op te lossen, maar dat kost erg veel tijd en moeite.
Tja....zou dan ook wel tijd worden. Joomla 1.5 wordt al sinds april 2012 niet meer ondersteund.....
Dat probleem heb je dus niet met eigen gemaakte websites.. belachelijk eigenlijk dat een website niet een paar jaar meer meekan, maar wel begrijpelijk met zulke open inzichtelijke rommelcode

[Reactie gewijzigd door twicejr op 15 december 2015 10:26]

belachelijk eigenlijk dat een website niet een paar jaar meer meekan, maar wel begrijpelijk met zulke open inzichtelijke rommelcode
"Joomla 1.5 was released on January 22, 2008, and the latest release of this version was 1.5.26 on March 27, 2012"

Dat is dus beduidend meer dan "een paar jaar" en ik ga er van uit dat er echt niemand meer een website op 1.5 heeft gebouwd sinds eind 2011.
Nee dat klopt maar er was destijds geen migratie optie van 1.5 naar 2 of hoger (nog steeds niet) waardoor een aantal sites (met eigen ontwikkelde components en modules) mogelijk wel zijn blijven hangen. Enige optie was nl schone installatie van 2.5 en vervolgens hopen dat je de boel geimporteerd krijgt. Alles wat custom ontwikkelt was moest overnieuw.
Nee dat klopt maar er was destijds geen migratie optie van 1.5 naar 2 of hoger (nog steeds niet) waardoor een aantal sites (met eigen ontwikkelde components en modules) mogelijk wel zijn blijven hangen.
Klinkt heel erg als die slappe excuses waarom bedrijven op Windows XP (of ouder) zijn blijven hangen.

... maar toch zijn er veel mensen geweest die succesvol een 1.x site naar 2.x of 3.x hebben gemigreerd. Maar als ik jouw verhaal lees kan dat helemaal niet?
Heb dat toendertijd voor al mijn klanten gedaan. Maar was van 1 naar 1.5 en van 1.5 naar 2.5 wel lastig. Tegenwoordig -naar 3.x en straks verder -geen enkel probleem meer. Als een zonnetje.
Ik begrijp dat als je WordPress gewend bent (die eigenlijk al jaren makkelijk update) je het slecht kan voorstellen, dat gaat aanzienlijk gemakkelijker.

Maar natuurlijk, alles kan. Je kan als je het echt wil weten veel informatie vinden, maar in het kort: installeer een schone installatie en gebruik 1 van de niet door Joomla zelf ontwikkelde conversie tools om de standaard gegevens over te zetten. Zaken die in eigen modules of componenten zitten moeten handmatig, en die comp/mods werken sowieso niet meer. Oh en het template systeem is veranderd, dus dat moet ook opnieuw.

Het is derhalve tijdrovend, en dat maakt het (uitgaande van een zakelijke site van een bedrijf gemaakt door een externe webbouwer) vrij kostbaar. Zeker als je na de upgrade alleen hetzelfde kan als ervoor (maar dan op Joomla 2.x ipv 1.5).

Geen idee of er statistieken van zijn, maar denk dat er ook een aanzienlijk deel van Joomla 1.5.x door is gegaan naar Drupal of WordPress (omdat je niet 2x tegen dezelfde steen wil lopen).

De vergelijking met XP gaat beetje mank, er zijn niet zoveel mensen meer die 10 jaar oude pc's hebben staan (en daar werd XP op geleverd, of is dat inmiddels 15 jaar geleden)? Maar nee, het is zeker geen excuus. Maar eerlijk is het ook beter als we allemaal in een EURO5 of EURO6 auto rijden voor het milieu, en toch neemt niet iedereen iedere 3 jaar die upgrade kosten.
Daar kun je een hele discussie over voeren, feit is dat een site met eigen of gesloten code niet per definitie beter hoeft te zijn of dat de code geen rommelcode bevat......of maak jij geen fouten en ben je vooraf op de hoogte van elke exploit die later wordt bedacht?
Ik heb sinds afgelopen paar maanden beheer genomen voor twee websites waar joomla 1.5 en joomla 1.0 op draaien. Maar er zit nog wel een hele stap vooraf voordat ik eindelijk kan migreren. Je wilt namelijk alles behouden en in één keer alles goed overzetten! Lijkt allemaal makkelijker dan het is.
Als je dat professioneel hebt gedaan, neem ik aan dat je daar dus een flinke premium fee voor hebt gevraagd? Het is namelijk een beetje hetzelfde als bedrijven die nog Windows XP gebruiken: leuk, maar je betaalt maar dik voor support, want daar is men officieel mee gestopt.

Verder had je natuurlijk al 3 jaar geleden moeten beginnen met de migratie naar J2.5, dan had je nu vrij eenvoudig door kunnen migreren naar 3.0, 3.x en zometeen 4.
Er zijn voldoende hobbyisten welke gewoon 1.5 draaien. Ik schrijf tegenwoordig mijn eigen code, maar vroeger werkte ik ook met Joomla, en heb nog steeds 2 site's draaien op 1.5...

Apache met mod_security doet wonderen, en natuurlijk dit soort zaken in de gaten houden! Kleine tip voor de mensen welke linux draaien:

find * -mmin 1000

Zoekt alle files veranderd de afgelopen 1000 minuten. Ik las dat deze exploit sinds 12 december al actief misbruikt werd, so do the math. Op een blog kwam ik dit tegen, schijnbaar matched deze search op getroffen servers (bron: https://blog.sucuri.net/2...nerability-in-joomla.html )

grep -rl 'default_action = ' ./ --include=*.php
1.5 tot 3.4.5
Kijkend naar deze link betekend dat dus alle joomla installaties tussen 2012 en eind 2014, en dan waarschijnlijk nog een paar, das ruk, als je nu nog een 2-3 jaar oude joomla site moet gaan updaten naar de nieuwste versie dat word een drama
Gelukkig hebben ze de patch ook beschikbaar gemaakt voor oudere versies:
https://docs.joomla.org/S...s_for_Joomla_EOL_versions
Zelf heb ik Joomla nog nooit gebruikt, maar gebruik ik altijd WordPress. Zijn er mensen die de overstap hebben gemaakt van WP naar Joomla of juist andersom?
Praktisch alle Joomla sites overgezet naar Wordpress. Joomla 1.5 sites upgraden naar 2.5 was een drama, en van 2.5 naar 3.0 ging niet veel beter. Theoretisch zou het allemaal automatisch moeten gaan, maar in de praktijk blijkt dat niet zo te zijn.
Wordpress heeft deze problemen niet, en zoals gezegd, is het beter qua onderhoud en SEO.
Upgraden van Joomla was altijd een drama en een heel proces. Van 1.0 naar 1.5, van 1.5 naar 2.5, 2.5 naar 3.0 iedere keer feest met een migratie proces, templates die niet meer functioneren etc.
Ik heb zelf ook nog een simpele website op 2.5 staan, wel ergens een test staan met 3.x, simpele basis template waar opnieuw aanpassingen voor gemaakt worden, toch dingen die niet meer goed functioneren.
Wordpress weet ik niet uit mijn hoofd vanaf welke versie ik daarmee wel eens mee werk, maar daar nog nooit problemen gehad, ging allemaal automatisch. Wellicht dat er met uitgebreidere en complexere het wat meer werk vergt.
Ik heb pas nog een site overgezet van 2.5 naar 3.4.5. en dit ging vrij vlot.
En sinds joomla 3 uit is kun je makkelijk nieuwe versies installeren.
Ik heb pas nog een site overgezet van 2.5 naar 3.4.5. en dit ging vrij vlot.
En sinds joomla 3 uit is kun je makkelijk nieuwe versies installeren.
Dat werd ook gezegd bij de overgang van Joomla 1.5 naar 2.5 (dat migratie vanaf versie 2.5 naar volgende versies probleemloos zou gaan verlopen). Dus heb ik mijn websites toen volledig van de grond opnieuw opgebouwd met het idee dat ik in de toekomst dan geen problemen meer zou hebben.
Nu bij de overgang van 2.5 naar 3.4, waarvoor ik al verschillende pogingen heb gewaagd is het weer een ramp. Ondanks dat ik van alle extensies en de template 3.4 versies had gedownload/aangeschaft, onderdelen willen niet werken.

Ik heb beslist geen tijd om de websites weer opnieuw van de grond af aan op te bouwen, dus ben ik blijven hangen op 2.5. Vond het heel vervelend dat de ondersteuning daarvan gestopt werd.

Het hoort toch niet zo te zijn dat je bij elke nieuwe versie weer bij 0 moet gaan beginnen?

[Reactie gewijzigd door sellh48 op 16 december 2015 16:45]

Daar kan ik je zeker gelijk in geven.
Hopelijk zijn de volgende versies makkelijker te upgraden.
Ik had een vrij simpele website over te zetten en dit ging vlot.
https://docs.joomla.org/J....x_Step_by_Step_Migration
Kan ook aan instellingen, htaccesfiles etc of je hostingomgeving liggen. Ik heb er weinig problemen mee gehad.
Dat is jouw persoonlijke mening, en als jij dat zo ervaart is dat prima en ook fijn dat je er tevreden mee bent. Ikzelf heb andere ervaringen met WP -vind het voor mijn klanten/projecten te beperkt- en vind Joomla supermakkelijk te onderhouden en scoor er SEO technisch fantastisch mee.
ik ben ook power user en ontwikkelaar ;)

vanaf begin doe ik joomla. sinds dit jaar met wordpress bezig geweest..

voor een blog is wordpress goed. maar wil je er meer mee. dan laat het zijn, want de site word echt echt echt traaaaaaaagg....

zelf vind ik ook de basis beter en veel flexibeler dan wordpress..
Die Bolt zal ik eens naar kijken voor wat meer basic sites. Kende ik nog niet.
WordPress vind ik persoonlijk niet fijn tenzij voor basic sites waar per pagina niet veel wijzigingen zitten in lay-out e.d.. Joomla werk ik al 10 jaar mee, waanzinnig fijn en goed. Zeker als je er wat mee de diepte in gaat. Heel erg veel mogelijk.
Als het traag wordt, duidt dat op een slechte ontwikkelaar of een server die ruk geconfigureerd is of onvoldoende resources heeft.

Maken hier de meest gestoorde wordpress plugins, en draait allemaal als een zonnetje. Maar dan zie ik soms plugins... Man man man. 2500 queries om één sectie van de frontpage te laden, per bezoeker, en gooit ook elke page load de cache leeg. Ja dan is het niet zo raar dat je site rete traag wordt en je server pissig. En dat terwijl 't met slechts een paar queries kon die wél gecached konden worden. :')

Het valt en staat gewoon met goede code en een goed ingerichte server; het probleem is echter vaak dat óf een programmeur denkt te weten hoe hij een server moet opzetten (wat vaak niet het geval is, rampzalige configs.) óf een server beheerder denkt dat hij goed kan programmeren... Of ze zijn beiden ruk, eg programmeur die denkt goed te kunnen programmeren of schijt heeft aan wat zijn code met de server doet want "dat is het probleem van de beheerder om op te lossen". :P Erg snugger... En die worden ook meteen ontslagen, opzouten.
Het probleem is vaak dat mensen denken alles goed te kunnen, maar is onwaar. Er zijn zeker figuren die én zeer goed kunnen programmeren én geniaal zijn met de back-end, maar die zijn schaars.

Met goede code, optimalisaties en een goed ingestelde server, heb je met Wordpress absoluut geen last van traagheid. :)

[Reactie gewijzigd door WhatsappHack op 15 december 2015 16:58]

Ik heb ervaring met beide, ik ben sinds kort eigenlijk meer bezig met Wordpress omdat het qua onderhoud en SEO vooral makkelijker en beter is.

Bij Joomla vind ik het makkelijker om zelf een template te maken en het is veel makkelijker om module locatie toe te voegen op een bepaalde plek in je template met 1 regel code.
Ik ben bijna met al mijn sites overgestapt van WordPress naar https://Bolt.cm
Joomla begin ik überhaupt niet meer aan.
Hier andersom,

Joomla is in de basis 'beter' en meer gericht op 'echte' ontwikkelaars omdat de code van Joomla wel Object Georiënteerd is. Daarnaast heeft het een boel meer power features, je kunt er standaard meer mee.

Maar goed, ik ben dan ook een power user en ontwikkelaar :P Wordpress is inderdaad wat gebruiksvriendelijker en laagdrempeliger, dus voor mensen die wat minder ervaren zijn is dat sneller een uitkomst dan Joomla :)
Voor 1.5 en 2.5 zijn gelukkig ook updates te downloaden:link . Er wordt echter wel aangeraden om direct naar 3.4.6 te gaan, maar uit ervaring kan ik zeggen dat je dan beter een nieuwe website op kan zetten.

[Reactie gewijzigd door Rub3s op 15 december 2015 10:28]

Werkt een joomla firewall hier misschien ook tegen ?
mijn hoster had al de firewall al ingesteld voor dat ik al iets wist over de zero-day..
zo oude joomla draait waarschijnlijk ook op oude php versie. En updaten wordt een probleem als er veel maatwerk/plugins in zitten.
Ik blijf netjes bij de laatste versie met Joomla.
Is het in 'Offline' modus zetten van Joomla via de backend, voldoende als minimale actie, of maakt dit niet uit?

Dus zo: https://docs.joomla.org/i...fig-3-site-offline-en.png
Mooi dat ik het bericht hier tegenkwam. Ik ben al even bezig om een aantal Wordpress websites te controleren waarbij afgelopen nacht weer een aantal plugins zijn geupdate. Nu maar even gelijk deze update meegenomen op 2 Joomla websites die ik beheer (en nu dus draaien op 3.4.6).

Op beide websites draai ik een instantie van RS Firewall. Ik weet niet of die dit soort lekken tegen kan gaan. Better safe than sorry, dus maar zsm updaten :)

Direct maar een aantal bekenden aangeschreven waarvan ik weet dat zij een Joomla 2.5.28 gebaseerde website beheren.
Kunnen ze niet gewoon de code laten zien waar het om gaat?
Dan hoeft niet gelijk heel Joomla geupgraded te worden
Kunnen ze niet gewoon de code laten zien waar het om gaat?
Kom zeg, zo moeilijk is dat toch niet te achterhalen in een Open Source project? ;)

https://github.com/PhilET...a3c8aeaa5427fec757e0c6895
Er is een update beschikbaar voor Joomla!
*click*
Loading....
U werkt op Joomla versie 3.4.6!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True