Back to top

Autore Topic: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5  (Letto 62145 volte)

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Sono un paio di giorni a questa parte che i cervelloni del "Dev Team" sono abbastanza preoccupati di questo articolo apparso su securityfocus.com il 27.12.2007
http://www.securityfocus.com/archive/1/485676/30/0/threaded

Nonostante i festeggiamenti di fine anno ci abbiano fatto pensare ad altro .... nel forum ufficiale http://forum.joomla.org da giorni è iniziata a serpeggiare la paura.


Questo articolo non ci porta niente di buono... evito di tradurlo un po' per ignoranza della lingua un po' perchè la cosa fa veramente venire il nervoso.
Pare che sia la versione 1.0.13 che l'ultima 1.5 RC4 soffrano dei problemi rilevati.....

Pare che il Team, informato dallo stesso scopritore della falla abbia rilasciato nell'SVN una patch di sicurezza per Joomla 1.5 RC4 ........ Ma.................. non ancora per la versione 1.0.13.?!?!?!?!??!?!?

Quindi, secondo il mio modesto punto di vista, è consigliabile correre ai ripari e fare i salvataggi dei siti importanti.
(che sia il caso magari di pensare forse ad un nuovo CMS meno noto ma più sicuro?)

Nota aggiuntiva:
Riporto l'indirizzo al 3rd del forum.joomla.org in quanto il problema è veramente serio per la serie 1.0.x
http://forum.joomla.org/index.php/topic,248109.msg986328/boardseen.html#new


Nota: Modificato titolo del topic
« Ultima modifica: 10 Gen 2008, 11:52:03 da vamba »
“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline Xabaras78

  • Appassionato
  • ***
  • Post: 261
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #1 il: 02 Gen 2008, 19:34:24 »
Grazie per la segnalazione, vamba...
Sforneranno sicuramente una patch anche per la 1.0.13... si spera in tempi brevi pero'... Anche una nuova release 1.0.14 non sarebbe male, se non c'e' da attendere troppo... che OO pero'...
Quizzer!:  chat, giochi, flashgames, e tanto altro...

Offline surfbit

  • Instancabile
  • ******
  • Post: 7316
  • Sesso: Maschio
  • Verranno ignorati mp tecnici
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #2 il: 02 Gen 2008, 19:41:10 »
Grazie Vamba
A volte basta un sorriso per far felice una persona.

La guida alla scelta dell'hosting per Joomla!  Joomlaspace.it: l'hosting per Joomla

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #3 il: 02 Gen 2008, 20:19:48 »
Citazione
Grazie Vamba
Nessun ringraziamento è solo per dovere di informazione agli utenti, dopo che per puro caso sono stato pure io informato, (in maniera stranissima ovvero una segnalazione di una cancellazione di un post che parlava proprio di queste cose)
Qui la cosa è realmente seria, e alexred ha anche riportato nel forum joomla.org una parte tradotta di un post di Phil Taylor.

cito testualmente dalla traduzione gentilmente effettuata da alex:
Citazione
Phil Taylor ha riportato in allegato una prova di patch per la versione 1.0.13 dopo aver dimostrato a Andrew Eddie che è stato in grado di crearsi un account superamministratore sul nuovo sito di Andrew  (Uno a caso del team aggiungo io  ;D )   il quale sembra allora ammettere che lavoreranno ad una soluzione anche per la 1.0.13

Anch'io, come alex poi dice a termine del suo intervento, spero che si adoprino urgentemente per rilasciare una patch, magari lavorando anche sulle tracce che ha indicato Phil (il quale ha pure allegato nel post due file con le indicazione su dove andare ad agire).

« Ultima modifica: 02 Gen 2008, 20:21:35 da vamba »
“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #4 il: 02 Gen 2008, 20:30:11 »
Aggiornamento:

Da circa un'ora è iniziato il lavoro di Bonifica

Codice: [Seleziona]
02-Jan-2008 Anthony Ferrara
 # Fixed delete issue with com_media in backend spoof check
 ^ added request param to josSpoofCheck to check $_REQUEST instead of $_POST

questo lo stralcio dal Changelog di 57 minuti fa.

I file interessati al momento sono circa un'ottantina:
Codice: [Seleziona]
Updated: administrator\index2.php 
Updated: administrator\components\com_trash\admin.trash.html.php 
Updated: administrator\components\com_trash\admin.trash.php 
Updated: administrator\components\com_newsfeeds\admin.newsfeeds.php 
Updated: administrator\components\com_newsfeeds\admin.newsfeeds.html.php 
Updated: administrator\components\com_syndicate\admin.syndicate.php 
Updated: administrator\components\com_syndicate\admin.syndicate.html.php 
Updated: administrator\components\com_frontpage\admin.frontpage.php 
Updated: administrator\components\com_frontpage\admin.frontpage.html.php 
Updated: administrator\components\com_categories\admin.categories.php 
Updated: administrator\components\com_categories\admin.categories.html.php 
Updated: administrator\components\com_menus\content_typed\content_typed.menu.html.php 
Updated: administrator\components\com_menus\wrapper\wrapper.menu.html.php 
Updated: administrator\components\com_menus\components\components.menu.html.php 
Updated: administrator\components\com_menus\contact_item_link\contact_item_link.menu.html.php 
Updated: administrator\components\com_menus\component_item_link\component_item_link.menu.html.php 
Updated: administrator\components\com_menus\submit_content\submit_content.menu.html.php 
Updated: administrator\components\com_menus\content_section\content_section.menu.html.php 
Updated: administrator\components\com_menus\content_archive_section\content_archive_section.menu.html.php 
Updated: administrator\components\com_menus\contact_category_table\contact_category_table.menu.html.php 
Updated: administrator\components\com_menus\weblink_category_table\weblink_category_table.menu.html.php 
Updated: administrator\components\com_menus\separator\separator.menu.html.php 
Updated: administrator\components\com_menus\content_blog_section\content_blog_section.menu.html.php 
Updated: administrator\components\com_menus\url\url.menu.html.php 
Updated: administrator\components\com_menus\newsfeed_category_table\newsfeed_category_table.menu.html.php 
Updated: administrator\components\com_menus\admin.menus.php 
Updated: administrator\components\com_menus\content_item_link\content_item_link.menu.html.php 
Updated: administrator\components\com_menus\content_category\content_category.menu.html.php 
Updated: administrator\components\com_menus\admin.menus.html.php 
Updated: administrator\components\com_menus\content_archive_category\content_archive_category.menu.html.php 
Updated: administrator\components\com_menus\content_blog_category\content_blog_category.menu.html.php 
Updated: administrator\components\com_menus\newsfeed_link\newsfeed_link.menu.html.php 
Updated: administrator\components\com_sections\admin.sections.php 
Updated: administrator\components\com_sections\admin.sections.html.php 
Updated: administrator\components\com_banners\admin.banners.php 
Updated: administrator\components\com_banners\admin.banners.html.php 
Updated: administrator\components\com_admin\admin.admin.html.php 
Updated: administrator\components\com_statistics\admin.statistics.html.php 
Updated: administrator\components\com_contact\admin.contact.php 
Updated: administrator\components\com_contact\admin.contact.html.php 
Updated: administrator\components\com_installer\mambot\mambot.html.php 
Updated: administrator\components\com_installer\mambot\mambot.class.php 
Updated: administrator\components\com_installer\component\component.html.php 
Updated: administrator\components\com_installer\component\component.class.php 
Updated: administrator\components\com_installer\language\language.class.php 
Updated: administrator\components\com_installer\module\module.class.php 
Updated: administrator\components\com_installer\module\module.html.php 
Updated: administrator\components\com_installer\admin.installer.php 
Updated: administrator\components\com_installer\template\template.class.php 
Updated: administrator\components\com_installer\admin.installer.html.php 
Updated: administrator\components\com_templates\admin.templates.php 
Updated: administrator\components\com_templates\admin.templates.html.php 
Updated: administrator\components\com_menumanager\admin.menumanager.html.php 
Updated: administrator\components\com_menumanager\admin.menumanager.php 
Updated: administrator\components\com_users\admin.users.html.php 
Updated: administrator\components\com_users\admin.users.php 
Updated: administrator\components\com_mambots\admin.mambots.php 
Updated: administrator\components\com_mambots\admin.mambots.html.php 
Updated: administrator\components\com_config\admin.config.php 
Updated: administrator\components\com_config\admin.config.html.php 
Updated: administrator\components\com_massmail\admin.massmail.php 
Updated: administrator\components\com_massmail\admin.massmail.html.php 
Updated: administrator\components\com_languages\admin.languages.php 
Updated: administrator\components\com_languages\admin.languages.html.php 
Updated: administrator\components\com_poll\admin.poll.php 
Updated: administrator\components\com_poll\admin.poll.html.php 
Updated: administrator\components\com_messages\admin.messages.php 
Updated: administrator\components\com_messages\admin.messages.html.php 
Updated: administrator\components\com_modules\admin.modules.php 
Updated: administrator\components\com_modules\admin.modules.html.php 
Updated: administrator\components\com_content\admin.content.php 
Updated: administrator\components\com_content\admin.content.html.php 
Updated: administrator\components\com_weblinks\admin.weblinks.php 
Updated: administrator\components\com_weblinks\admin.weblinks.html.php 
Updated: administrator\components\com_media\admin.media.html.php 
Updated: administrator\components\com_media\admin.media.php 
Updated: administrator\components\com_typedcontent\admin.typedcontent.html.php 
Updated: administrator\components\com_typedcontent\admin.typedcontent.php 
Updated: administrator\popups\pollwindow.php 
Updated: administrator\popups\uploadimage.php 
Updated: administrator\templates\joomla_admin\cpanel.php 
Updated: includes\joomla.php




per cui vediamo di inziare un giro di test poi li allineremo alla versione italiana.

(Fortuna che siam sempre in festa..)  ;)
« Ultima modifica: 02 Gen 2008, 20:32:01 da vamba »
“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #5 il: 02 Gen 2008, 23:04:28 »
Pacchetto completo localizzato in italiano (ed eventuale aggiornamento) sono pronti e in stand by in attesa del via libera.

In pratica cosa è stato modificato.
E' stata rafforzAta la funzione josSpoofCheck per controllare ed eventualmente bloccare gli $_REQUEST e $_POST non proprio carini.

Codice: [Seleziona]
function josSpoofCheck( $header=NULL, $alt=NULL , $request = false) {
if($request) {
$validate = mosGetParam( $_REQUEST, josSpoofValue($alt), 0 );
} else {
$validate = mosGetParam( $_REQUEST, josSpoofValue($alt), 0 );
}

In tutti i file admin.html.php soggetti a tale problema tra le componenti amministratotive è stato aggiunto
Codice: [Seleziona]
<input type="hidden" name="<?php echo josSpoofValue(); ?>" value="1" />al termine di ogni form
mentre nei file admin.php (soggetti all'aggiornamento) ogni funzione ha ora il tag di controllo
Codice: [Seleziona]
josSpoofCheck();

Prevedo che forse anche tutte le componenti in circolazione, anzi direi sicuramente, sono soggette a tale problema e gli sviluppatori, nel più breve tempo possibile, dovranno  adeguarle alle nuove specifiche.


« Ultima modifica: 02 Gen 2008, 23:08:27 da vamba »
“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline bobighorus

  • Abituale
  • ****
  • Post: 840
  • Sesso: Maschio
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #6 il: 02 Gen 2008, 23:35:32 »
Attendiamo con ansia il download della patch / fix  ;) :D

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #7 il: 02 Gen 2008, 23:38:01 »
Al momento il consiglio più sensato che ho letto in attesa della patch ufficiale è questo

Citazione
The number one bit of advice I can give all site admins at the moment is to - LOGOUT OF YOUR JOOMLA ADMIN as soon as you finish using it, and do not surf around the internet while administrating your Joomla site, and if you allow users to modify your site's frontend, be careful not to surf your frontend as well while logged in.

Do not install any 3rd party components/mambots/modules/AND TEMPLATES!!! from untrusted sources

Do not click on any links in 3rd party component (like "click here for updates/upgrades") as this is one quick way for a developer/hacker to embed a link into your admin and create a desire to click it.

Chi ha le facolltà, e soprattutto la bontà, di tradurlo per gli altri farà un lavoro benvenuto e ben gradito.
“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline sara82

  • Instancabile
  • ******
  • Post: 2686
  • Sesso: Femmina
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #8 il: 03 Gen 2008, 00:03:04 »
Il primo piccolo consiglio che al momento posso dare a tutti gli amministratori di siti è di EFFETTUARE IL LOGOUT DALL'AMMINISTRAZIONE DI JOOMLA non appena terminato di utilizzarlo, e di non navigare qua e là su internet mentre si sta amministrando il proprio sito Joomla, e, se si permette agli utenti di modificare il frontend del proprio sito, fare attenzione a non navigare nel proprio frontend mentre si è loggati.

Non installare nessun componente/mambot/modulo/template di terze parti da fonti non sicure

Non cliccare su nessun link in componenti di terze parti (come ad esempio "clicca qui per aggiornamenti/upgrade"), in quanto questo è un modo veloce per uno sviluppatore/hacker di inserire un link nella tua amministrazione per indurre gli utenti a cliccarci.
« Ultima modifica: 03 Gen 2008, 12:15:20 da surfbit »
Stai cercando un  hosting Joomla? Vieni su   - the right  joomla hosting for your Joomla site!

Offline surfbit

  • Instancabile
  • ******
  • Post: 7316
  • Sesso: Maschio
  • Verranno ignorati mp tecnici
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #9 il: 03 Gen 2008, 10:08:21 »
Grazie anche della traduzione.
A volte basta un sorriso per far felice una persona.

La guida alla scelta dell'hosting per Joomla!  Joomlaspace.it: l'hosting per Joomla

Offline double_d

  • Esploratore
  • **
  • Post: 69
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #10 il: 07 Gen 2008, 13:23:03 »
Dangerous!
Inserite i vostri siti Joomla su http://www.joomlashow.it

Offline Kara

  • Abituale
  • ****
  • Post: 841
  • Sesso: Femmina
  • il mio rapporto con joomla
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #11 il: 07 Gen 2008, 15:41:38 »
grazie ragazzi, come sempre fate un lavoro magnifico :-*
In un mondo di bruchi ci vogliono le palle per essere una farfalla

Gioca con noi ai Giochi di narrazione

Offline Kriss

  • Team Joomla.it
  • Abituale
  • *******
  • Post: 1763
  • Sesso: Maschio
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #12 il: 09 Gen 2008, 18:08:18 »
Ehi,
ci sono novità sulla questione? ???

cià
Ehi, l'email è solo per salutarmi!

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #13 il: 09 Gen 2008, 18:19:31 »
Al momento, se intendi voci su un'imminente uscita di una patch, non ci sono novità.
L'ultimo commit nell'SVN relativo al progetto Joomla serie 1.0.x è di due giorni fa e, in questi momenti la comunità sta svolgendo, come molti di noi del resto, i test necessari per evitare "rigetti" dovuti a questa "trasfusione" che servirà a bloccare, si spera, questa falla scoperta nei primi giorni di dicembre dello scorso anno.
“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline Kriss

  • Team Joomla.it
  • Abituale
  • *******
  • Post: 1763
  • Sesso: Maschio
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #14 il: 09 Gen 2008, 18:40:50 »
Grazie! esaustivo! è troppo importante questo topic!
ciao
Ehi, l'email è solo per salutarmi!

Offline Maorinz

  • Instancabile
  • ******
  • Post: 2641
  • Sesso: Maschio
  • ©il brillar per se stessi non porta emozioni
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #15 il: 09 Gen 2008, 19:13:18 »
Grazie! esaustivo! è troppo importante questo topic!
ciao

Grazie anche da parte mia vamba!!!!!! ;)
Sono lontano dal forum ed ho ricevuto questa notizia dal mio host..così son venuto qui a leggere. :o
Ora mi terrò incollato.

Grazie ancora.

Ciao :)

Offline ocirnei66

  • Nuovo arrivato
  • *
  • Post: 22
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #16 il: 09 Gen 2008, 19:27:19 »
Il primo piccolo consiglio che al momento posso dare a tutti gli amministratori di siti è di EFFETTUARE IL LOGOUT DALL'AMMINISTRAZIONE DI JOOMLA non appena terminato di utilizzarlo, e di non navigare qua e là su internet mentre si sta amministrando il proprio sito Joomla, e, se si permette agli utenti di modificare il frontend del proprio sito, fare attenzione a non navigare nel proprio frontend mentre si è loggati.

Non installare nessun componente/mambot/modulo/template di terze parti da fonti non sicure

Non cliccare su nessun link in componenti di terze parti (come ad esempio "clicca qui per aggiornamenti/upgrade"), in quanto questo è un modo veloce per uno sviluppatore/hacker di inserire un link nella tua amministrazione per indurre gli utenti a cliccarci.
grazie
Enrico

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #17 il: 09 Gen 2008, 20:20:18 »
Un aggiornamento veloce sul problema.
Phil Taylor, nel suo blog, consiglia l'utilizzo di un programma stand alone per poter amministrare con una certa sicurezza in questi giorni, in attesa di un risvolto favorevole nella ricerca di una patch definitiva.
http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/

Voglio inoltre rispondere a coloro che chiedono se il problema si manifesta solo quando siamo connessi come superamministratori nel back-end del sito.
NO il problema esiste anche se siamo connessi lato front-end quindi seguite il consiglio riportato qualche post precednete in questo topic, quando amministrate il sito evitate di navigare in altri siti e soprattuto evitate di cliccare su link che non siano strettamente quelli amministrativi. Appena terminate le procedure di amministrazione scollegatevi da amministratori, non lasciate la sessione aperta per nessuna ragione.

Masterchief ha rilasciato una dichiarazione nella quale si scusa per la poca rilevanza data immediatamente nella ricerca di una cura per la serie 1.0.x, (infatti molti utenti hanno fatto presente il fatto che con circa decine di migliaia di installazioni della serie 1.5 e circa 6 milioni di installazioni serie 1.0.x si sia privilegiato il fix della serie 1.5 prima della serie 1.0.x (che oltretutto ha un parco utenti più vasto per scoprire eventuali anomalie sulle nuove patch applicate).
Masterchief inoltre afferma che il problema non riguarda solo Joomla! ma anche altri applicativi e quindi,  tutti questi Team insieme stanno cercando un deterrente a questa ... che chiameremo "Calamità".
“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline Simo.ant

  • Nuovo arrivato
  • *
  • Post: 11
  • Sesso: Maschio
    • Mostra profilo
Re: Anno nuovo ... Stessi Lamers
« Risposta #18 il: 10 Gen 2008, 09:08:52 »
Grazie, un motivo in più per fare i beckup  :)
Scusate ma non ho capito una cosa, per quanto riguarda la 1.5 RC4 è già stato corretto o no?

Offline Artorius Castus

  • Appassionato
  • ***
  • Post: 238
  • Sesso: Maschio
    • Mostra profilo
[Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #19 il: 10 Gen 2008, 09:23:17 »
Sicuramente troveranno qualcosa per poter evitare il peggio e comunque grazie dei consigli ragazzi cercherò di seguirli.

Nota: modificato titolo del topic
« Ultima modifica: 10 Gen 2008, 11:52:28 da vamba »
Nulla è reale tutto è lecito.

 



Web Design Bolzano Kreatif