Back to top

Autore Topic: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5  (Letto 62361 volte)

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #20 il: 10 Gen 2008, 15:24:42 »
Quando piove sul bagnato ....
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2008-01/msg00087.html

...per di più stanno arrivando le prime segnalazioni di attacchi riusciti in data 5 gennaio 2008 (ed era logico attenderlo)
http://forum.joomla.org/index.php/topic,251280.0.html
« Ultima modifica: 10 Gen 2008, 15:27:46 da vamba »
“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline muvadi

  • Esploratore
  • **
  • Post: 110
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #21 il: 10 Gen 2008, 21:45:42 »
io non ho capito che tipo di danno possono fare...
Il mio sito Joomla!
Te-lo-do-io-il-web! Risorse gratis

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #22 il: 10 Gen 2008, 21:57:40 »
Accedere, (mentre sei connesso come super amministratore sia che tu sia in front-end che in backend), e creare, senza il tuo consenso è ovvio, un account super-amministratore e chissà......
magari ti degradano a publisher (nella migliore delle ipotesi) oppure ti fanno "icchè vogliono nel sito" dato che avranno accesso a tutte le funzioni amministrative del sito e quindi alle password del database, al media manager per caricare ciò che desiderano .... insomma basta come lista o proseguo?  ;D ;)

Per farti un esempio ti posso dire che Phil Taylor per far capire al capo progetto i rischi di questa falla, dato che alll'inizio non lo ca....no di striscio, si è creato un account super amministratore .......... dove?  Nel sito del personale di uno dei membri del Team di Joomla!
« Ultima modifica: 10 Gen 2008, 21:59:35 da vamba »
“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline muvadi

  • Esploratore
  • **
  • Post: 110
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #23 il: 10 Gen 2008, 21:59:24 »
no...no...basta così mi sento già male....
Il mio sito Joomla!
Te-lo-do-io-il-web! Risorse gratis

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #24 il: 10 Gen 2008, 22:02:09 »
Comunque, anche se grave sta cosa si possono dormire sonni relativamente tranquilli seguendo alcune semplici regolette.
Evitare di lasciare la sessione amministratore aperta, ovvero se state amministrando qualcosa nel sito non navigate in altri siti e appena terminato scollegatevi.
Se possibile eliminate "la funzione ricordami" nel login, oppure usatela con la dovuta cautela, abbassate anche il tempo di sessione loggin, (lo so è una noia quando si devono scrivere articoli lunghi e ci si scontra con la disconnessione automatica) ma prendete l'abitudine di scrivere gli articoli offline e poi copiate/incollate il testo online.

Per tirare sul un po' il morale (lo so è sarcartico ma in questi momenti ci vuole), pensate che questo non è un problema che al momento attanaglia solo Joomla! ma anche altri applicativi per cui ... stringiamoci tutti forte e facciamoci coraggio  ;)
« Ultima modifica: 10 Gen 2008, 22:06:09 da vamba »
“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline double_d

  • Esploratore
  • **
  • Post: 69
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #25 il: 10 Gen 2008, 22:22:23 »
Quando piove sul bagnato ....
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2008-01/msg00087.html

...per di più stanno arrivando le prime segnalazioni di attacchi riusciti in data 5 gennaio 2008 (ed era logico attenderlo)
http://forum.joomla.org/index.php/topic,251280.0.html

Scusa vamba, quel link che hai postato no...

c'è il codice dell'exploit. ok,

è un codice banalissimo e stupidissimo, un form che fa una richiesta a un determinato sito joomla al com_user per creare un utente superamministratore, e quindi se se l'amministratore è loggato nell'amministrazione e accede alla pagina con exploit automaticamente si crea un utente con i permessi di super admin con user e pass usati nello script.

Ok, la mia domanda è: ma il problema non è mica solo quello?

Cioè, quello non è mica l'unico exploit?

Perchè, spiego:

l'ho provato su un mio sito;
ha funzionato se non alla prima, alla seconda botta (avevo sbagliato a inserire qualche impostazione).

Quindi ho aperto i file del componente com_user del mio joomla e gli ho fatto una stupida modifica.

Ho riprovato l'exploit, e non ha funzionato, cioè l'ho bloccato.

Ma a me è sembrata una cosa banale!

Ci devono essere sicuramente altri inghippi...
Inserite i vostri siti Joomla su http://www.joomlashow.it

Offline Daniele Pinna

  • Appassionato
  • ***
  • Post: 595
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #26 il: 11 Gen 2008, 00:21:06 »
Dal Link postato da Vamba ho letto queste righe:

Citazione
Disclosure timeline
===================
Oct 18 2007 - Vulnerability found.
Oct 18 2007 - Vulnerability reported to vendor.
Oct 18 2007 - Answer from vendor.
Jan 08 2008 - Advisory released.

Cioè dal 18 Ottobre hanno avvisato solo l'8 di Gennaio?
E ancora non c'è una patch...

Capisco che all'inizio non è stata presa in considerazione come una reale minaccia alla sicurezza, però mi sembrano tempi troppo lunghi...

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #27 il: 11 Gen 2008, 00:52:15 »
Concordo, quoto e applaudo.... Bingo!  ;D (poi m'inchino pure)
non per sfottere mi raccomando ma mi vien proprio dal cuore ... finalmente un post che mi riempie di gioia.

E' PROPRIO PER QUESTO CHE LA COMUNITA' E IMBUFALITA (e io con loro)
Come diamine si fa a pensare di patchare prima una versione non ancora stabile con decine di migliaia di siti a scapito di milioni di siti che usano ancora la versione 1.0.x!

Tu in poco tempo il tuo personale tappabuco l'hai trovato, allora diciamo.........
con milioni di utenti che da anni utilizzano la serie 1.0.x
(e le poche migliaia che seguono la serire 1.5) perchè il team non ha avvisato subito di questo problema?




“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline Victor

  • Appassionato
  • ***
  • Post: 561
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #28 il: 11 Gen 2008, 01:41:39 »
quindi se uno non si logga mai da superadmin non ha problemi?
Sono Victor, sono qui per fare le pulizie...

Gli MP non mi arrivano :-(

Offline taolo

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3651
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #29 il: 11 Gen 2008, 01:53:22 »
quindi se uno non si logga mai da superadmin non ha problemi?

domanda ultrapertinente  :)
Ogni tanto passo da Joomla Blog! Un blog su Joomla

Offline wosky

  • Abituale
  • ****
  • Post: 1056
  • Sesso: Maschio
  • Delfino curioso
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #30 il: 11 Gen 2008, 01:54:53 »
Allora mi registro un Administrator ed entro solo cosi! :D



Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #31 il: 11 Gen 2008, 09:43:02 »
Citazione
quindi se uno non si logga mai da superadmin non ha problemi?
Ottima domanda ... rispondo per quel che ne so io ..... Boh!!!
Dato che adesso son tutti focalizzati sul problema non si sa con certezza se tale è per qualsiasi livello di accesso amministrativo.
Personalmente credo che non dovrebbe intaccare il livello acceso manager ed inferiori,(in quanto non hanno permessi per la creazione di utenti) ma è anche vero che però l'amministratoire a sua volta non può creare un super-admin.
Quindi se ne deduce che dato che solo un super-admin può creare un altro super-admin.... essere collegati come administrator
dovrebbe salvarci da sto problema. (sempre che poi uno non si crei un account administrator ... che pianta il sito lo stessso in quanto ha accesso, ok a meno funzioni amministrative però ha sempre i suoi bei possedimenti pure lui :) )
“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline surfbit

  • Instancabile
  • ******
  • Post: 7316
  • Sesso: Maschio
  • Verranno ignorati mp tecnici
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #32 il: 11 Gen 2008, 10:01:30 »
Da questa considerazione si potrebbe dire che chi non ha bisogno di fare cose da amministratore, può crearsi un account manager. In effetti il più delle volte io stesso mi logo sempre come admin nei miei siti, quando faccio operazioni semplici di manager. Sarebbe buona norma utilizzare account in base alle esigenze. Del resto nei sistemi come linux non ci si loga mai come admin. Questo preserva eventuali danni. Chiaramente il concetto tra sistema operativo e cms è un pò diverso e in particolare i due temi, però forse sarebbe una buona usanza non accedere sempre come super admin in joomla quando non nserve.
A volte basta un sorriso per far felice una persona.

La guida alla scelta dell'hosting per Joomla!  Joomlaspace.it: l'hosting per Joomla

Offline Marco Carosio

  • Nuovo arrivato
  • *
  • Post: 13
  • Sesso: Maschio
  • God is Read, unless declared Integer
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #33 il: 11 Gen 2008, 10:08:24 »
Ciao a tutti,

Magari sapete già tutti, ma ripetere non nuoce.
Ho sentito di un trucchetto che può risolvere il problema del CSRF almeno in attesa di un release 1.0.x o 1.5 stabile.

http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/

In ogni caso mi sembra un buon accorgimento.
« Ultima modifica: 11 Gen 2008, 12:04:35 da virtual_pure »
All those moments will be lost in time, like tears in rain

Offline wosky

  • Abituale
  • ****
  • Post: 1056
  • Sesso: Maschio
  • Delfino curioso
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #34 il: 11 Gen 2008, 11:14:31 »
Da questa considerazione si potrebbe dire che chi non ha bisogno di fare cose da amministratore, può crearsi un account manager. In effetti il più delle volte io stesso mi logo sempre come admin nei miei siti, quando faccio operazioni semplici di manager. Sarebbe buona norma utilizzare account in base alle esigenze. Del resto nei sistemi come linux non ci si loga mai come admin. Questo preserva eventuali danni. Chiaramente il concetto tra sistema operativo e cms è un pò diverso e in particolare i due temi, però forse sarebbe una buona usanza non accedere sempre come super admin in joomla quando non nserve.
Quoto



Offline double_d

  • Esploratore
  • **
  • Post: 69
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #35 il: 11 Gen 2008, 12:31:14 »
quindi se uno non si logga mai da superadmin non ha problemi?

No, ma non mi sembra ottima come soluzione.


Comunque io ho risolto con poche righe di codice e ho bloccato quell'exploit lì (quello del link). Ma credo che ce ne siano molti altri possibili, anche se forse quello è il più pericoloso e il più stupido da mettere in atto (provare per credere).
Inserite i vostri siti Joomla su http://www.joomlashow.it

Offline ..-. ..-

  • Appassionato
  • ***
  • Post: 408
  • Joomla! Per semplice sito .... No Grazie!
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #36 il: 11 Gen 2008, 12:49:43 »
Forse stiamo facendo un po' di confusione, ma è logico quando quantità di notizie arrivano contemporaneamente.

@double_d quello del link non è in riferimento al al problema CFSR, e un'altra segnalazione che parla di un'altro problema di exploit.

Al momento, pare, che esistano vari tipi di segnalazioni effettuati nel trimestre ott-nov-dic 2008 (ricordiamoci che l'ultimo fix per la serie 1.0.x risale ad agosto 2007).

Diciamo che questi due sono quelli che preoccupano di più al momento, e metre quello a cui fa riferimento double_d è ristretto pare a joomla (e mambo) il problema del CFSR pare molto più ampio e che abbracci più applicativi.

“Non potrei vivere se non avessi la sensazione che oggi so qualcosa più di ieri.”
(M. McCarthy)

Offline Victor

  • Appassionato
  • ***
  • Post: 561
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #37 il: 11 Gen 2008, 12:51:37 »
certo che non e' la soluzione migliore, ma i siti fatti e finiti che non hanno bisogno di gestione sono piu' sicuri dal questo punto di vista, ovvio che chi ha dei siti che devono essere costantemente aggiornati ha dei problemi.

speriamo che risolvano in fretta, adesso l'unica cosa e' stare attenti e fare backup ogni giorno

saluti
Sono Victor, sono qui per fare le pulizie...

Gli MP non mi arrivano :-(

Offline zio2nu

  • Esploratore
  • **
  • Post: 54
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #38 il: 13 Gen 2008, 17:25:59 »
Salve, dopo aver letto l'articolo in homepage http://www.joomla.it/index.php?option=com_content&task=view&id=569&Itemid=160, volevo chiedervi se si protegge con htaccess la cartella administrator il bug "CSRF" funziona lo stesso o no?

Cioè se riescono a carpirmi per mezzo del bug i dati per l'accesso al lato amministrativo, poi visto che la cartella è protetta anche con htaccess, riesco ad accedervi?


Offline zio2nu

  • Esploratore
  • **
  • Post: 54
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #39 il: 13 Gen 2008, 18:54:32 »
Mi rispondo da solo purtroppo come leggo da questo post: http://forum.joomla.org/index.php/topic,248109.msg1142207.html#msg1142207, il problema resta.

Citazione
Hi,

If the admin part is .htaccess protected is it going to stop the account creation from the hacker?


No - cause if YOU are logged into your admin console then YOU have already supplied your htaccess credentials and the CSRF Vulnerability will use those credentials when accessing your site.  htaccess is not the answer.

 



Web Design Bolzano Kreatif