Joomla100 Support Forum
Joomla!-/CMS-Hosting => Sicherheit und Updates => Thema gestartet von: admin am 23.03.2010 10:41 Uhr
-
Ich habe eine Email mit dem Betreff: Ihre Website enthaelt eine Sicherheitsluecke! erhalten. Was muss ich tun?
Diese Email wird neuerdings automatisch vom System generiert, da wir wegen der vielen Sicherheitsprobleme vorbeugend nach Sicherheitslücken suchen. Neben den Informationen in der Email finden Sie hier noch einige Infos zum Hintergrund dieser Email: http://www.joomla100.com/content/view/126/153/
Die übliche Vorgehensweise beim Erhalt dieser Email ist, auf der Entwickler-Seite der Komponente/des Moduls/Plugins nach der aktuellsten Version zu suchen und diese zu aktualisieren. Unser Suchskript erkennt noch nicht, ob die installierte Version aktuell ist, oder nicht (daran arbeiten wir noch). Das können Sie aber schnell über die Homepage der Entwickler oder über die in der Email aufgeführten Links herausfinden.
Sollte keine aktuelle bzw. sichere Version der Komponente zur Verfügung stehen, müssten Sie diese unbedingt deinstallieren, um einem Hackerangriff vorzubeugen.
Sollten Sie noch Joomla 1.0 einsetzen, wäre eine Migration auf 1.5 die beste und sicherste Alternative, da die Entwicklung von Joomla 1.0 und deren Komponenten seit längerer Zeit eingestellt wurde. Daher ist auch nicht davon auszugehen, dass es für die Komponenten noch Sicherheitsupdates geben wird.
-
Hallo Admin!
Ich erhielt eine Mail mit
>> Bitte sorgen Sie umgehend für die Beseitigung des Sicherheitsrisikos:
com_MailTo
/var/www/.../components/com_mailto <<
Ich kann doch nicht die Komponente com_mailto aus dem Standardpaket einfach löschen?
Das System läuft auf der aktuellen Version 1.5.15, müsste da diese Komponentente nicht auch standardmäßig überprüft worden sein?
Oder bin ich da jetzt auf dem falschen Dampfer?
Leicht verwirrte Grüße... ???
pkiermeier
-
Hallo Admin,
ich habe genau die gleiche Email erhalten.
Nach meinen nachforschungen ist aber com_MailTo nur unter 1.5.13 und tiefer unsicher und nicht unter 1.5.14 oder 1.5.15:
http://developer.joomla.org/security/news/303-20090723-core-com-mailto-timeout-issue.html
Auch wird die Komponente com_kunena als unsicher gemeldet. Jedoch ist die aktuellste Version 1.5.9 (welche ich auch installiert habe) laut hier sicher:
http://www.joomlaportal.de/sicherheit-joomla-1-5-und-erweiterungen/212432-kunena-forum-blind-sql-injection-vulnerability.html
Könnte es sein, dass dieses Automatisierungsscript noch etwas fehlerhaft läuft?
-
Da das "Frühwarnsystem" noch nicht erkennt, ob die aktuellste sichere Version einer Komponente (sofern es eine aktuelle sichere Version gibt) installiert ist, erhält jeder Kunde eine Mail, wenn es bei einer Komponente einen Verdacht gibt bzw. diese in der Vergangenheit für Sicherheitslücken bekannt war, damit Sie als User auf jeden Fall die Aktualität der Komponente prüfen.
Wir arbeiten noch daran, dass auch die Version der Komponente erkannt wird und bei einer sicheren Version keine Email generiert wird.
Mailto ist hier ein gutes Beispiel, das wird künftig aber auch nicht mehr angemahnt, hier soll lediglich geprüft werden, ob wirklich Joomla 1.5.15 verwendet wird, was leider viel zu häufig nicht der Fall ist.
Bei Kunena ist übrigens die 1.5.10 die aktuellste Version.
-
ich habe auch dieses mail heute erhalten. Meine Version ist leide noch Joomla 1.012. Da ich momentan keine Zeit habe auf Version 1.5 umzusteigen, möchte ich gern wissen:
1. Wie beseitige ich das Problem?
2. Welche Funktion meiner Seite wird dadurch u.U. beeinflusst?
3. Wie Kann ich eine mögliche fehlende Funktion - die z.B. durch das Löschen einer Datei verursacht wird - subtituieren.
Das ein Umstieg auf 1.5 nötig ist, braucht bitte nicht nochmals wiederholt werden!
Danke und Gruß
Moffie
-
1. Wie beseitige ich das Problem?
2. Welche Funktion meiner Seite wird dadurch u.U. beeinflusst?
3. Wie Kann ich eine mögliche fehlende Funktion - die z.B. durch das Löschen einer Datei verursacht wird - subtituieren.
Um das zu beantworten, wäre es schon gut zu wissen, welche Komponente in der Email genannt wurde. :)
-
Hier der Hinweis auf die Komponente:
Sehr geehrte Kundin, sehr geehrter Kunde,
bei einer standardmaessigen Ãœberpruefung verwendeter Komponenten und Module fanden wir eine Anwendung welche, bekannterweise, ein Sicherheitsrisiko darstellt und be- reits ausgenutzt wurde um Schaden anzurichten:
-----------------------------------------------------------------
com_MailTo
/var/www/web90/html/fam/components/com_mailto
-
Die Antwort dazu steht eigentlich schon weiter oben:
Mailto ist hier ein gutes Beispiel, das wird künftig aber auch nicht mehr angemahnt, hier soll lediglich geprüft werden, ob wirklich Joomla 1.5.15 verwendet wird, was leider viel zu häufig nicht der Fall ist.
Ab Joomla-Version 1.5.14 ist com_mailto kein Sicherheitsrisiko, also wenn Sie die aktuellste Joomla-Verion 1.5.15 verwenden, können Sie diese Mail ignorieren.
-
Am Samstag Morgen werde ich durch besagtes Email alamiert "web9 burns: Ihre Website enthaelt eine Sicherheitsluecke!"
Also Seite in den Wartungsmode, zuständigen Mitarbeiter aus dem Wochenende geholt.
Dieser erkärt mir nun, dass das alles wohl nur ein schlechter Scherz ist."Unsere Joomla Installation wird wöchentlich auf updates geprüft, und Joomla selbst ist natürlich auf dem aktuellen Stand." (Joomla! 1.5.15 Stable)
Was bleibet sind zusätzliche Kosten für einen Wochenendeinsatz und die Frage wie verläßlich unser Provider ist.
Mit freundlichen Grüßen
Natv
-
Wie gesagt, ein Prüfen der Version ist leider nicht möglich, da in Joomla Version 1.5.1 oder 1.5.15 bei der Komponente MailTo in der XML-Datei immer die gleiche Version steht. Daher ist hier nicht zu erkenne, welche Version installiert ist.
Die Komponente MailTo wird künftig bei Sicherheits-Prüfungen auch nicht mehr berücksichtigt. Evtl. wäre hier eine einfache Mail oder ein Anruf die bessere Lösung gewesen. Für die entstandenen Umstände bitte ich um Entschuldigung.
-
Moin,
bei der beschriebenen Verläßlichkeit der Prüfung (com-mailto) und der Tatsache, daß zwei weitere Komponenten angemeckert werden, die gar nicht auf der Liste der Sicherheitsmeldungen stehen, kann ich diese Art eMails vorläufig wohl getrost ignorieren.
Werde ich jetzt des Servers verwiesen? ???
fragende Grüße
Michael
-
Der Extplorer, der bei Ihnen "angemeckert" wurden, taucht sogar mehrfach auf der Liste auf.
Der Verweis kommt aber natürlich erst dann, wenn die üblichen Phishing-Sites, 100.000 Spam-Mails die über eine gehackte Seite verschickt werden, Kinderpornos zum Download und ähnliche tolle Sachen über Ihre Webseite laufen.
Wegen den Problemen verschicken wir ja die Warn-Emails (und natürlich, um Leute zu ärgern, weil es so Spaß macht). ;)
-
Eben wieder eine Seite gehackt, CKForms in Version 1.3.3 wurde zum Spamversand missbraucht, die Technik musste 180.000 Spam-Mails, die noch in der Warteschlange waren, löschen. Zwei Tage vorher kam die Email, dass diese Komponente unsicher ist. Die Seite musste gesperrt werden...
-
Zur Info, heute traf es noch drei weitere Kunden, zwei davon hatten auch die Sicherheitswarnung wegen CKForms ignoriert, in der Warteschlange waren jeweils noch 70-80.000 Spam-Mails, die noch verschickt werden sollten.
Irgendwie komisch, jeder beschwert sich über die Spam-Mails, aber keiner tut was dagegen...
-
Ich oute mich als Warnmailempfänger!
Danke Chef, so habe ich ein paar alte Projekte gelöscht. Mehr Speicherplatz für Neues!
;D
-
Irgendwie laufen die Backups in der Nacht jetzt viel schneller durch. :D
-
Und wieder zwei gehackte Installationen, 1x 20.000 und 1x 30.000 Emails die noch verschickt werden sollten und von der Technik gelöscht wurden. Die Seiten mussten auch wieder gesperrt werden...
-
Irgendwie laufen die Backups in der Nacht jetzt viel schneller durch. :D
Das hat jetzt aber nicht allein mit mir zu tun :P
Wie soll ich eigentlich mein Geld verdienen, wenn du ständig meine Sp*mmühlen vom Server wirfst? ;)
-
Hallo,
ich habe heute auch ein Mail mit dem Hinweis einer Sicherheitslücke bekommen.
Was ich nicht ganz verstehe, in der Mail steht das z.B. folgende Komponenten unsicher ist:
com_alphauserpoints /var/www/webXXX/html/administrator/components/com_alphauserpoints
Die Komponente existiert zwar nicht, aber im Pfad steht mein Username.
Jetzt frage ich mich:
Hat das Sicherheitsskript wirklich meine Installation geprüft oder wird die Liste der unsicheren Komponenten einfach mit meinen administrator/components-Pfad kombiniert?
Sollte mein Verzeichnis wirklich geprüft worden sein, dann müsste es doch möglich sein die Ordner, also die vorhanden Komponenten, mit der Liste der unsicheren Komponenten abzugleichen und die nicht vorhandenen zu entfernen.
Ich verstehe nicht wie ich Sicherheitsmeldungen über nicht existierende Komponenten erhalten kann.
Die Auswertung in der Mail ergibt für mich absolut keinen Sinn.
Viele Grüße,
kap
-
Hallo kap,
leider war das wieder ein Fehlalarm. Eigentlich sollte die Mail nur an uns "Tester" von Joomla100 rausgehen, leider hat das Skript nochmal an alle verschickt, was natürlich ein Fehler war. Wir testen das Skript noch, derzeit arbeiten wir daran, dass nur Alarm geschlagen wird, wenn die verwendete Version unsicher ist.
Sorry wegen des Fehlalarms. :(
-
Alles klar,
kap
-
Heute habe ich die Warnmail zum dritten mal bekommen. Zum einen bekomme ich immer 5 Stück am Stück, pro Mail kommen immer mehr Module und Komponenten dazu und zu guter Letzt habe ich die aufgeführten Module nicht einmal installiert.
Was soll das also?
-
Wie gesagt, es war ein Fehlalarm, also ein Fehler unsererseits...
-
Habe heute für 3 verschiedene Sites wieder die standartisierte Warnmail bekommen.
Sehr geehrte Kundin, sehr geehrter Kunde,
bei einer standardmaessigen Ãœberpruefung verwendeter Komponenten und Module fanden
wir eine Anwendung welche, bekannterweise, ein Sicherheitsrisiko darstellt und be-
reits ausgenutzt wurde um Schaden anzurichten:
Diese Module sind potentiell unsicher:
-----------------------------------------------------------------com_alphauserpoints /var/www/web21/html/administrator/components/com_alphauserpoints-----------------------------------------------------------------
-----------------------------------------------------------------com_turtushout /var/www/web21/html/administrator/components/com_turtushout-----------------------------------------------------------------
-----------------------------------------------------------------com_projectfork /var/www/web21/html/administrator/components/
etc.
*********************
Auf allen 3 sind aber keine der aufgeführten Componenten installiert.
Auch sind die pakete auf dem neuesten Stand 1.5.15
War das wieder eine Fehlmeldung?
Server sind zur Zeit nur sehr schwer oder gar nicht zu erreichen. Zumindest einer davon. :-\
-
War das wieder eine Fehlmeldung?
Die Frage beantwortet sich eigentlich von selbst, wenn man den Post darüber liest, oder?
Server sind zur Zeit nur sehr schwer oder gar nicht zu erreichen. Zumindest einer davon.
Alle, einer... Ist ja nicht so wichtig. ;)
Uns ist auch schon bekannt, welcher. Die Logs zeigen wieder an, dass sich ein Spammer eingenistet hat. Mailversand ist extrem hoch, deshalb hohe Auslastung. Sobald die Technik herausgefunden hat, welcher Server, wird der betroffene Nutzer gesperrt. Ich wette mal 100:1, dass eine Komponente gehackt wurde, die in der Email aufgetaucht ist, auch wenn es im Grunde bei vielen ein Fehlalarm war.
-
sorry, hatte nur Seite 1 im tread gelesen und übersehen, das es schon eine Seite 2 gab. :-X
Hmmmm...langsam wirds echt unlustig mit den Spamerproblemen.
Ich hoffe, wir sind nicht wirklich Verursacher, weil man irgend ein update oder ne Warnmeldung übersieht. Kann mich ja nicht den ganzen Tag auf die Lauer legen ob etwas als unsicher gemeldet wird.
Was haltet ihr denn davon, das es eine Mailinglist von jommla100 gibt, die Nachrichten an alle Kunden verschickt, wenn Componenten als unsicher gemeldet werden oder andere Sicherheitsprobleme auftreten.
Dann kann Kunde reagieren, bevor Probleme auftreten. Und Kunde muss nicht selbst ständig nach Informationen suchen.
joomla100 hat die Informationen doch sowieso.
Naja...nur so ein Gedanke.
-
Genau daran arbeiten wir ja gerade, deshalb ja die Mail. Das Frühwarnsystem ist noch in der Testphase, die Mail sollte nur intern an Joomla100 gehen.
Ziel ist es, dass wir automatisch erkennen, ob eine Version unsicher ist. Sollte ein Kunde eine unsichere Komponente, Modul oder Plugin installiert haben, erhält er automatisch eine Email.
Das Frühwarnsystem selbst ist auch schon so weit, nur mit dem Mailen klappt es noch nicht so. :(
-
Ich meinte eher eine Mailinglist, die Kunden vor Componenten warnt, auch wenn diese die nicht installiert haben.
So wird man schon im voraus vor bestimmten componenten gewarnt, ehe man diese installiert.
-
Da wäre es aber eigentlich besser, sich vor der Installation einer Komponente darüber zu informieren, ob diese unsicher ist, oder? Die Mail geht ohnehin schnell vergessen, wer kann sich bei den hunderten an Komponenten und Modulen schon behalten, welche sicher ist und welche nicht, mal abgesehen von der Versionsnummer.
Bestes Beispiel ist CKForms, Version 1.3.3 macht uns hier jede Nacht die Hölle heiß, 1.3.4 hat die Sicherheitslücke geschlossen. Wer behält sich so was auf Dauer?
-
Ich find die Lösung mit dem Suchscript ganz gut. Es ist aus Hostersicht eben problematisch, shared-hosting für einen Haufen Spielkinder sicher zu halten, die teilweise Projekte veralten lassen. (Ich seh das ja an meinen Projekten ;D )
Und leider sind die Hacker auch nicht von gestern, bots klappern rund um die Uhr Seiten nach nicht gestopften Löchern ab. Das Spammail- bzw. Spameintragsgeschäft floriert eben.
Und mal ehrlich, wie viele der Kunden hier haben sich schonmal mit PHP oder MySQL auf Quellcodeebene auseinandergesetzt? Eben diese nennen sich dann aber verantwortlich Siteadmins ... ::)
-
"Diese Module sind definitiv unsicher: com_jce - /var/www/web1xx/html/cache/administrator/components/com_jce"
-
Diese Nachricht habe ich heute bekommen. Nun läuft auf den betreffenden Seiten seit zwei Wochen JCE in der Version 2.3.2.1
Lediglich die Sprachdateien habe ich noch nicht aktualisiert.
-
Wie ernst muss ich obige Nachricht nehmen ?
-
Da sind wir noch dran, scheinbar wurde in der XML-Datei vom JCE nochmal eine Versionsangabe "1.6" eingefügt, das ist aber erst seit einigen Versionen der Fall und unser Suchskript hat jetzt als Version die 1.6 erkannt. :(
Wenn die Version also auf 2.3.X ist, besteht kein Handlungsbedarf.