[admin]

Ich habe eine Email mit dem Betreff:  Ihre Website enthaelt eine Sicherheitsluecke! erhalten. Was muss ich tun?

Diese Email wird neuerdings automatisch vom System generiert, da wir wegen der vielen Sicherheitsprobleme vorbeugend nach Sicherheitslücken suchen. Neben den Informationen in der Email finden Sie hier noch einige Infos zum Hintergrund dieser Email: http://www.joomla100.com/content/view/126/153/

Die übliche Vorgehensweise beim Erhalt dieser Email ist, auf der Entwickler-Seite der Komponente/des Moduls/Plugins nach der aktuellsten Version zu suchen und diese zu aktualisieren. Unser Suchskript erkennt noch nicht, ob die installierte Version aktuell ist, oder nicht (daran arbeiten wir noch). Das können Sie aber schnell über die Homepage der Entwickler oder über die in der Email aufgeführten Links herausfinden.

Sollte keine aktuelle bzw. sichere Version der Komponente zur Verfügung stehen, müssten Sie diese unbedingt deinstallieren, um einem Hackerangriff vorzubeugen.

Sollten Sie noch Joomla 1.0 einsetzen, wäre eine Migration auf 1.5 die beste und sicherste Alternative, da die Entwicklung von Joomla 1.0 und deren Komponenten seit längerer Zeit eingestellt wurde. Daher ist auch nicht davon auszugehen, dass es für die Komponenten noch Sicherheitsupdates geben wird.

[pkiermeier]

Hallo Admin!

Ich erhielt eine Mail mit

>> Bitte sorgen Sie umgehend für die Beseitigung des Sicherheitsrisikos:

com_MailTo
/var/www/.../components/com_mailto <<

Ich kann doch nicht die Komponente com_mailto aus dem Standardpaket einfach löschen?

Das System läuft auf der aktuellen Version 1.5.15, müsste da diese Komponentente nicht auch standardmäßig überprüft worden sein?

Oder bin ich da jetzt auf dem falschen Dampfer?

Leicht verwirrte Grüße...

pkiermeier

[bochen87]

Hallo Admin,

ich habe genau die gleiche Email erhalten.

Nach meinen nachforschungen ist aber com_MailTo nur unter 1.5.13 und tiefer unsicher und nicht unter 1.5.14 oder 1.5.15:
http://developer.joomla.org/security/news/303-20090723-core-com-mailto-timeout-issue.html

Auch wird die Komponente com_kunena als unsicher gemeldet. Jedoch ist die aktuellste Version 1.5.9 (welche ich auch installiert habe) laut hier sicher:
http://www.joomlaportal.de/sicherheit-joomla-1-5-und-erweiterungen/212432-kunena-forum-blind-sql-injection-vulnerability.html

Könnte es sein, dass dieses Automatisierungsscript noch etwas fehlerhaft läuft?

[admin]

Da das "Frühwarnsystem" noch nicht erkennt, ob die aktuellste sichere Version einer Komponente (sofern es eine aktuelle sichere Version gibt) installiert ist, erhält jeder Kunde eine Mail, wenn es bei einer Komponente einen Verdacht gibt bzw. diese in der Vergangenheit für Sicherheitslücken bekannt war, damit Sie als User auf jeden Fall die Aktualität der Komponente prüfen.

Wir arbeiten noch daran, dass auch die Version der Komponente erkannt wird und bei einer sicheren Version keine Email generiert wird.

Mailto ist hier ein gutes Beispiel, das wird künftig aber auch nicht mehr angemahnt, hier soll lediglich geprüft werden, ob wirklich Joomla 1.5.15 verwendet wird, was leider viel zu häufig nicht der Fall ist.

Bei Kunena ist übrigens die 1.5.10 die aktuellste Version.

[Moffie]

ich habe auch dieses mail heute erhalten. Meine Version ist leide noch Joomla 1.012. Da ich momentan keine Zeit habe auf Version 1.5 umzusteigen, möchte ich gern wissen:

1. Wie beseitige ich das Problem?
2. Welche Funktion meiner Seite wird dadurch u.U. beeinflusst?
3. Wie Kann ich eine mögliche fehlende Funktion - die z.B. durch das Löschen einer Datei verursacht wird - subtituieren.

Das ein Umstieg auf 1.5 nötig ist, braucht bitte nicht nochmals wiederholt werden!

Danke und Gruß
Moffie

[admin]

1. Wie beseitige ich das Problem?
2. Welche Funktion meiner Seite wird dadurch u.U. beeinflusst?
3. Wie Kann ich eine mögliche fehlende Funktion - die z.B. durch das Löschen einer Datei verursacht wird - subtituieren.

Um das zu beantworten, wäre es schon gut zu wissen, welche Komponente in der Email genannt wurde.

[Moffie]

Hier der Hinweis auf die Komponente:

Sehr geehrte Kundin, sehr geehrter Kunde,


bei einer standardmaessigen Ãœberpruefung verwendeter Komponenten und Module fanden wir eine Anwendung welche, bekannterweise, ein Sicherheitsrisiko darstellt und be- reits ausgenutzt wurde um Schaden anzurichten:

-----------------------------------------------------------------
com_MailTo
/var/www/web90/html/fam/components/com_mailto

[admin]

Die Antwort dazu steht eigentlich schon weiter oben:

Mailto ist hier ein gutes Beispiel, das wird künftig aber auch nicht mehr angemahnt, hier soll lediglich geprüft werden, ob wirklich Joomla 1.5.15 verwendet wird, was leider viel zu häufig nicht der Fall ist.

Ab Joomla-Version 1.5.14 ist com_mailto kein Sicherheitsrisiko, also wenn Sie die aktuellste Joomla-Verion 1.5.15 verwenden, können Sie diese Mail ignorieren.

[NATV]

Am Samstag Morgen werde ich durch besagtes Email alamiert "web9 burns: Ihre Website enthaelt eine Sicherheitsluecke!"
Also Seite in den Wartungsmode, zuständigen Mitarbeiter aus dem Wochenende geholt.
Dieser erkärt mir nun, dass das alles wohl nur ein schlechter Scherz ist."Unsere Joomla Installation wird wöchentlich auf updates geprüft, und Joomla selbst ist natürlich auf dem aktuellen Stand." (Joomla! 1.5.15 Stable)
Was bleibet sind zusätzliche Kosten für einen Wochenendeinsatz und die Frage wie verläßlich unser Provider ist.
Mit freundlichen Grüßen
Natv

[admin]

Wie gesagt, ein Prüfen der Version ist leider nicht möglich, da in Joomla Version 1.5.1 oder 1.5.15 bei der Komponente MailTo in der XML-Datei immer die gleiche Version steht. Daher ist hier nicht zu erkenne, welche Version installiert ist.

Die Komponente MailTo wird künftig bei Sicherheits-Prüfungen auch nicht mehr berücksichtigt. Evtl. wäre hier eine einfache Mail oder ein Anruf die bessere Lösung gewesen. Für die entstandenen Umstände bitte ich um Entschuldigung.

[knuelfz]

Moin,

bei der beschriebenen Verläßlichkeit der Prüfung (com-mailto) und der Tatsache, daß zwei weitere Komponenten angemeckert werden, die gar nicht auf der Liste der Sicherheitsmeldungen stehen, kann ich diese Art eMails vorläufig wohl getrost ignorieren.

Werde ich jetzt des Servers verwiesen?

fragende Grüße
Michael

[admin]

Der Extplorer, der bei Ihnen "angemeckert" wurden, taucht sogar mehrfach auf der Liste auf.

Der Verweis kommt aber natürlich erst dann, wenn die üblichen Phishing-Sites, 100.000 Spam-Mails die über eine gehackte Seite verschickt werden, Kinderpornos zum Download und ähnliche tolle Sachen über Ihre Webseite laufen.

Wegen den Problemen verschicken wir ja die Warn-Emails (und natürlich, um Leute zu ärgern, weil es so Spaß macht).

[admin]

Eben wieder eine Seite gehackt, CKForms in Version 1.3.3 wurde zum Spamversand missbraucht, die Technik musste 180.000 Spam-Mails, die noch in der Warteschlange waren, löschen. Zwei Tage vorher kam die Email, dass diese Komponente unsicher ist. Die Seite musste gesperrt werden...

[admin]

Zur Info, heute traf es noch drei weitere Kunden, zwei davon hatten auch die Sicherheitswarnung wegen CKForms ignoriert, in der Warteschlange waren jeweils noch 70-80.000 Spam-Mails, die noch verschickt werden sollten.

Irgendwie komisch, jeder beschwert sich über die Spam-Mails, aber keiner tut was dagegen...

[driet]

Ich oute mich als Warnmailempfänger!

Danke Chef, so habe ich ein paar alte Projekte gelöscht. Mehr Speicherplatz für Neues!