[Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5

[..-. ..-]

Sono un paio di giorni a questa parte che i cervelloni del "Dev Team" sono abbastanza preoccupati di questo articolo apparso su securityfocus.com il 27.12.2007
http://www.securityfocus.com/archive/1/485676/30/0/threaded

Nonostante i festeggiamenti di fine anno ci abbiano fatto pensare ad altro .... nel forum ufficiale http://forum.joomla.org da giorni è iniziata a serpeggiare la paura.


Questo articolo non ci porta niente di buono... evito di tradurlo un po' per ignoranza della lingua un po' perchè la cosa fa veramente venire il nervoso.
Pare che sia la versione 1.0.13 che l'ultima 1.5 RC4 soffrano dei problemi rilevati.....

Pare che il Team, informato dallo stesso scopritore della falla abbia rilasciato nell'SVN una patch di sicurezza per Joomla 1.5 RC4 ........ Ma.................. non ancora per la versione 1.0.13.?!?!?!?!??!?!?

Quindi, secondo il mio modesto punto di vista, è consigliabile correre ai ripari e fare i salvataggi dei siti importanti.
(che sia il caso magari di pensare forse ad un nuovo CMS meno noto ma più sicuro?)

Nota aggiuntiva:
Riporto l'indirizzo al 3rd del forum.joomla.org in quanto il problema è veramente serio per la serie 1.0.x
http://forum.joomla.org/index.php/topic,248109.msg986328/boardseen.html#new


Nota: Modificato titolo del topic

[Xabaras78]

Grazie per la segnalazione, vamba...
Sforneranno sicuramente una patch anche per la 1.0.13... si spera in tempi brevi pero'... Anche una nuova release 1.0.14 non sarebbe male, se non c'e' da attendere troppo... che OO pero'...

[surfbit]

Grazie Vamba

[..-. ..-]

Grazie Vamba

Nessun ringraziamento è solo per dovere di informazione agli utenti, dopo che per puro caso sono stato pure io informato, (in maniera stranissima ovvero una segnalazione di una cancellazione di un post che parlava proprio di queste cose)
Qui la cosa è realmente seria, e alexred ha anche riportato nel forum joomla.org una parte tradotta di un post di Phil Taylor.

cito testualmente dalla traduzione gentilmente effettuata da alex:

Phil Taylor ha riportato in allegato una prova di patch per la versione 1.0.13 dopo aver dimostrato a Andrew Eddie che è stato in grado di crearsi un account superamministratore sul nuovo sito di Andrew  (Uno a caso del team aggiungo io  )   il quale sembra allora ammettere che lavoreranno ad una soluzione anche per la 1.0.13

Anch'io, come alex poi dice a termine del suo intervento, spero che si adoprino urgentemente per rilasciare una patch, magari lavorando anche sulle tracce che ha indicato Phil (il quale ha pure allegato nel post due file con le indicazione su dove andare ad agire).

[..-. ..-]

Aggiornamento:

Da circa un'ora è iniziato il lavoro di Bonifica

Codice: [Seleziona]

02-Jan-2008 Anthony Ferrara
 # Fixed delete issue with com_media in backend spoof check
 ^ added request param to josSpoofCheck to check $_REQUEST instead of $_POST
questo lo stralcio dal Changelog di 57 minuti fa.

I file interessati al momento sono circa un'ottantina:

Codice: [Seleziona]

Updated: administrator\index2.php 
Updated: administrator\components\com_trash\admin.trash.html.php 
Updated: administrator\components\com_trash\admin.trash.php 
Updated: administrator\components\com_newsfeeds\admin.newsfeeds.php 
Updated: administrator\components\com_newsfeeds\admin.newsfeeds.html.php 
Updated: administrator\components\com_syndicate\admin.syndicate.php 
Updated: administrator\components\com_syndicate\admin.syndicate.html.php 
Updated: administrator\components\com_frontpage\admin.frontpage.php 
Updated: administrator\components\com_frontpage\admin.frontpage.html.php 
Updated: administrator\components\com_categories\admin.categories.php 
Updated: administrator\components\com_categories\admin.categories.html.php 
Updated: administrator\components\com_menus\content_typed\content_typed.menu.html.php 
Updated: administrator\components\com_menus\wrapper\wrapper.menu.html.php 
Updated: administrator\components\com_menus\components\components.menu.html.php 
Updated: administrator\components\com_menus\contact_item_link\contact_item_link.menu.html.php 
Updated: administrator\components\com_menus\component_item_link\component_item_link.menu.html.php 
Updated: administrator\components\com_menus\submit_content\submit_content.menu.html.php 
Updated: administrator\components\com_menus\content_section\content_section.menu.html.php 
Updated: administrator\components\com_menus\content_archive_section\content_archive_section.menu.html.php 
Updated: administrator\components\com_menus\contact_category_table\contact_category_table.menu.html.php 
Updated: administrator\components\com_menus\weblink_category_table\weblink_category_table.menu.html.php 
Updated: administrator\components\com_menus\separator\separator.menu.html.php 
Updated: administrator\components\com_menus\content_blog_section\content_blog_section.menu.html.php 
Updated: administrator\components\com_menus\url\url.menu.html.php 
Updated: administrator\components\com_menus\newsfeed_category_table\newsfeed_category_table.menu.html.php 
Updated: administrator\components\com_menus\admin.menus.php 
Updated: administrator\components\com_menus\content_item_link\content_item_link.menu.html.php 
Updated: administrator\components\com_menus\content_category\content_category.menu.html.php 
Updated: administrator\components\com_menus\admin.menus.html.php 
Updated: administrator\components\com_menus\content_archive_category\content_archive_category.menu.html.php 
Updated: administrator\components\com_menus\content_blog_category\content_blog_category.menu.html.php 
Updated: administrator\components\com_menus\newsfeed_link\newsfeed_link.menu.html.php 
Updated: administrator\components\com_sections\admin.sections.php 
Updated: administrator\components\com_sections\admin.sections.html.php 
Updated: administrator\components\com_banners\admin.banners.php 
Updated: administrator\components\com_banners\admin.banners.html.php 
Updated: administrator\components\com_admin\admin.admin.html.php 
Updated: administrator\components\com_statistics\admin.statistics.html.php 
Updated: administrator\components\com_contact\admin.contact.php 
Updated: administrator\components\com_contact\admin.contact.html.php 
Updated: administrator\components\com_installer\mambot\mambot.html.php 
Updated: administrator\components\com_installer\mambot\mambot.class.php 
Updated: administrator\components\com_installer\component\component.html.php 
Updated: administrator\components\com_installer\component\component.class.php 
Updated: administrator\components\com_installer\language\language.class.php 
Updated: administrator\components\com_installer\module\module.class.php 
Updated: administrator\components\com_installer\module\module.html.php 
Updated: administrator\components\com_installer\admin.installer.php 
Updated: administrator\components\com_installer\template\template.class.php 
Updated: administrator\components\com_installer\admin.installer.html.php 
Updated: administrator\components\com_templates\admin.templates.php 
Updated: administrator\components\com_templates\admin.templates.html.php 
Updated: administrator\components\com_menumanager\admin.menumanager.html.php 
Updated: administrator\components\com_menumanager\admin.menumanager.php 
Updated: administrator\components\com_users\admin.users.html.php 
Updated: administrator\components\com_users\admin.users.php 
Updated: administrator\components\com_mambots\admin.mambots.php 
Updated: administrator\components\com_mambots\admin.mambots.html.php 
Updated: administrator\components\com_config\admin.config.php 
Updated: administrator\components\com_config\admin.config.html.php 
Updated: administrator\components\com_massmail\admin.massmail.php 
Updated: administrator\components\com_massmail\admin.massmail.html.php 
Updated: administrator\components\com_languages\admin.languages.php 
Updated: administrator\components\com_languages\admin.languages.html.php 
Updated: administrator\components\com_poll\admin.poll.php 
Updated: administrator\components\com_poll\admin.poll.html.php 
Updated: administrator\components\com_messages\admin.messages.php 
Updated: administrator\components\com_messages\admin.messages.html.php 
Updated: administrator\components\com_modules\admin.modules.php 
Updated: administrator\components\com_modules\admin.modules.html.php 
Updated: administrator\components\com_content\admin.content.php 
Updated: administrator\components\com_content\admin.content.html.php 
Updated: administrator\components\com_weblinks\admin.weblinks.php 
Updated: administrator\components\com_weblinks\admin.weblinks.html.php 
Updated: administrator\components\com_media\admin.media.html.php 
Updated: administrator\components\com_media\admin.media.php 
Updated: administrator\components\com_typedcontent\admin.typedcontent.html.php 
Updated: administrator\components\com_typedcontent\admin.typedcontent.php 
Updated: administrator\popups\pollwindow.php 
Updated: administrator\popups\uploadimage.php 
Updated: administrator\templates\joomla_admin\cpanel.php 
Updated: includes\joomla.php



per cui vediamo di inziare un giro di test poi li allineremo alla versione italiana.

(Fortuna che siam sempre in festa..) 

[..-. ..-]

Pacchetto completo localizzato in italiano (ed eventuale aggiornamento) sono pronti e in stand by in attesa del via libera.

In pratica cosa è stato modificato.
E' stata rafforzAta la funzione josSpoofCheck per controllare ed eventualmente bloccare gli $_REQUEST e $_POST non proprio carini.

Codice: [Seleziona]

function josSpoofCheck( $header=NULL, $alt=NULL , $request = false) {
if($request) {
$validate = mosGetParam( $_REQUEST, josSpoofValue($alt), 0 );
} else {
$validate = mosGetParam( $_REQUEST, josSpoofValue($alt), 0 );
}
In tutti i file admin.html.php soggetti a tale problema tra le componenti amministratotive è stato aggiunto

Codice: [Seleziona]

<input type="hidden" name="<?php echo josSpoofValue(); ?>" value="1" />al termine di ogni form
mentre nei file admin.php (soggetti all'aggiornamento) ogni funzione ha ora il tag di controllo

Codice: [Seleziona]

josSpoofCheck();

Prevedo che forse anche tutte le componenti in circolazione, anzi direi sicuramente, sono soggette a tale problema e gli sviluppatori, nel più breve tempo possibile, dovranno  adeguarle alle nuove specifiche.

[bobighorus]

Attendiamo con ansia il download della patch / fix 

[..-. ..-]

Al momento il consiglio più sensato che ho letto in attesa della patch ufficiale è questo

The number one bit of advice I can give all site admins at the moment is to - LOGOUT OF YOUR JOOMLA ADMIN as soon as you finish using it, and do not surf around the internet while administrating your Joomla site, and if you allow users to modify your site's frontend, be careful not to surf your frontend as well while logged in.

Do not install any 3rd party components/mambots/modules/AND TEMPLATES!!! from untrusted sources

Do not click on any links in 3rd party component (like "click here for updates/upgrades") as this is one quick way for a developer/hacker to embed a link into your admin and create a desire to click it.

Chi ha le facolltà, e soprattutto la bontà, di tradurlo per gli altri farà un lavoro benvenuto e ben gradito.

[sara82]

Il primo piccolo consiglio che al momento posso dare a tutti gli amministratori di siti è di EFFETTUARE IL LOGOUT DALL'AMMINISTRAZIONE DI JOOMLA non appena terminato di utilizzarlo, e di non navigare qua e là su internet mentre si sta amministrando il proprio sito Joomla, e, se si permette agli utenti di modificare il frontend del proprio sito, fare attenzione a non navigare nel proprio frontend mentre si è loggati.

Non installare nessun componente/mambot/modulo/template di terze parti da fonti non sicure

Non cliccare su nessun link in componenti di terze parti (come ad esempio "clicca qui per aggiornamenti/upgrade"), in quanto questo è un modo veloce per uno sviluppatore/hacker di inserire un link nella tua amministrazione per indurre gli utenti a cliccarci.

[surfbit]

Grazie anche della traduzione.

[double_d]

Dangerous!

[Kara]

grazie ragazzi, come sempre fate un lavoro magnifico

[Kriss]

Ehi,
ci sono novità sulla questione?

cià

[..-. ..-]

Al momento, se intendi voci su un'imminente uscita di una patch, non ci sono novità.
L'ultimo commit nell'SVN relativo al progetto Joomla serie 1.0.x è di due giorni fa e, in questi momenti la comunità sta svolgendo, come molti di noi del resto, i test necessari per evitare "rigetti" dovuti a questa "trasfusione" che servirà a bloccare, si spera, questa falla scoperta nei primi giorni di dicembre dello scorso anno.

[Kriss]

Grazie! esaustivo! è troppo importante questo topic!
ciao

[Maorinz]

Grazie! esaustivo! è troppo importante questo topic!
ciao

Grazie anche da parte mia vamba!!!!!!
Sono lontano dal forum ed ho ricevuto questa notizia dal mio host..così son venuto qui a leggere.
Ora mi terrò incollato.

Grazie ancora.

Ciao

[ocirnei66]

Il primo piccolo consiglio che al momento posso dare a tutti gli amministratori di siti è di EFFETTUARE IL LOGOUT DALL'AMMINISTRAZIONE DI JOOMLA non appena terminato di utilizzarlo, e di non navigare qua e là su internet mentre si sta amministrando il proprio sito Joomla, e, se si permette agli utenti di modificare il frontend del proprio sito, fare attenzione a non navigare nel proprio frontend mentre si è loggati.

Non installare nessun componente/mambot/modulo/template di terze parti da fonti non sicure

Non cliccare su nessun link in componenti di terze parti (come ad esempio "clicca qui per aggiornamenti/upgrade"), in quanto questo è un modo veloce per uno sviluppatore/hacker di inserire un link nella tua amministrazione per indurre gli utenti a cliccarci.

grazie
Enrico

[..-. ..-]

Un aggiornamento veloce sul problema.
Phil Taylor, nel suo blog, consiglia l'utilizzo di un programma stand alone per poter amministrare con una certa sicurezza in questi giorni, in attesa di un risvolto favorevole nella ricerca di una patch definitiva.
http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/

Voglio inoltre rispondere a coloro che chiedono se il problema si manifesta solo quando siamo connessi come superamministratori nel back-end del sito.
NO il problema esiste anche se siamo connessi lato front-end quindi seguite il consiglio riportato qualche post precednete in questo topic, quando amministrate il sito evitate di navigare in altri siti e soprattuto evitate di cliccare su link che non siano strettamente quelli amministrativi. Appena terminate le procedure di amministrazione scollegatevi da amministratori, non lasciate la sessione aperta per nessuna ragione.

Masterchief ha rilasciato una dichiarazione nella quale si scusa per la poca rilevanza data immediatamente nella ricerca di una cura per la serie 1.0.x, (infatti molti utenti hanno fatto presente il fatto che con circa decine di migliaia di installazioni della serie 1.5 e circa 6 milioni di installazioni serie 1.0.x si sia privilegiato il fix della serie 1.5 prima della serie 1.0.x (che oltretutto ha un parco utenti più vasto per scoprire eventuali anomalie sulle nuove patch applicate).
Masterchief inoltre afferma che il problema non riguarda solo Joomla! ma anche altri applicativi e quindi,  tutti questi Team insieme stanno cercando un deterrente a questa ... che chiameremo "Calamità".

[Simo.ant]

Grazie, un motivo in più per fare i beckup 
Scusate ma non ho capito una cosa, per quanto riguarda la 1.5 RC4 è già stato corretto o no?

[Artorius Castus]

Sicuramente troveranno qualcosa per poter evitare il peggio e comunque grazie dei consigli ragazzi cercherò di seguirli.

Nota: modificato titolo del topic